
<html>

<body>

&#13;<br>

On 01/22/2015 12:59 PM, Alon Bar-Lev wrote:&#13;<br>

<font color="#000000">&gt;&#13;</font><br>

<font color="#000000">&gt; ----- Original Message -----&#13;</font><br>

<font color="#000000">&gt;&gt; From: &quot;Jorick Astrego&quot; &lt;j.astrego@<a href="mailto:netbulae.eu">netbulae.eu</a>&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; To: users@<a href="mailto:ovirt.org">ovirt.org</a>&#13;</font><br>

<font color="#000000">&gt;&gt; Sent: Thursday, January 22, 2015 1:41:40 PM&#13;</font><br>

<font color="#000000">&gt;&gt; Subject: Re: [ovirt-users] oVirt 3.5 and FreeIpa&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; On 10/31/2014 02:47 PM, Marcelo Donato wrote:&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; Below the solution. Resolved By &quot;Alon Bar-Lev&quot; &lt; alonbl@<a href="mailto:redhat.com">redhat.com</a>&nbsp;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; 1. install ovirt-engine-extension-aaa- ldap, it is available in&#13;</font><br>

<font color="#000000">&gt;&gt; ovirt-3.5-snapshots repository.&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; 2. create /etc/ovirt-engine/extensions. d/din.intranet-authz. properties&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; ovirt.engine.extension.name = din-intranet-authz&#13;</font><br>

<font color="#000000">&gt;&gt; ovirt.engine.extension. bindings.method = jbossmodule&#13;</font><br>

<font color="#000000">&gt;&gt; ovirt.engine.extension. binding.jbossmodule.module =&#13;</font><br>

<font color="#000000">&gt;&gt; org.ovirt.engine-extensions. aaa.ldap&#13;</font><br>

<font color="#000000">&gt;&gt; ovirt.engine.extension. binding.jbossmodule.class =&#13;</font><br>

<font color="#000000">&gt;&gt; org.ovirt.engineextensions. aaa.ldap.AuthzExtension&#13;</font><br>

<font color="#000000">&gt;&gt; ovirt.engine.extension. provides = org.ovirt.engine.api. extensions.aaa.Authz&#13;</font><br>

<font color="#000000">&gt;&gt; config.profile.file.1 = /etc/ovirt-engine/aaa/din. intranet.properties&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; 3. create /etc/ovirt-engine/extensions. d/din.intranet-authn. properties&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; ovirt.engine.extension.name = din-intranet-authn&#13;</font><br>

<font color="#000000">&gt;&gt; ovirt.engine.extension. bindings.method = jbossmodule&#13;</font><br>

<font color="#000000">&gt;&gt; ovirt.engine.extension. binding.jbossmodule.module =&#13;</font><br>

<font color="#000000">&gt;&gt; org.ovirt.engine-extensions. aaa.ldap&#13;</font><br>

<font color="#000000">&gt;&gt; ovirt.engine.extension. binding.jbossmodule.class =&#13;</font><br>

<font color="#000000">&gt;&gt; org.ovirt.engineextensions. aaa.ldap.AuthnExtension&#13;</font><br>

<font color="#000000">&gt;&gt; ovirt.engine.extension. provides = org.ovirt.engine.api. extensions.aaa.Authn&#13;</font><br>

<font color="#000000">&gt;&gt; ovirt.engine.aaa.authn.profile.name = din.intranet&#13;</font><br>

<font color="#000000">&gt;&gt; ovirt.engine.aaa.authn.authz. plugin = din-intranet-authz&#13;</font><br>

<font color="#000000">&gt;&gt; config.profile.file.1 = /etc/ovirt-engine/aaa/din. intranet.properties&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; 4. create /etc/ovirt-engine/aaa/din. intranet.properties&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; include = &lt;ipa.properties&gt;&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; vars.user = uid=admin,cn=users,cn= accounts,dc=din,dc=intranet&#13;</font><br>

<font color="#000000">&gt;&gt; vars.password = 123456&#13;</font><br>

<font color="#000000">&gt;&gt; vars.server = ipa1.din.intranet&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; pool.default.serverset.single. server = ${global:vars.server}&#13;</font><br>

<font color="#000000">&gt;&gt; pool.default.auth.simple. bindDN = ${global:vars.user}&#13;</font><br>

<font color="#000000">&gt;&gt; pool.default.auth.simple. password = ${global:vars.password}&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; 5. restart engine.&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; Thanks a lot Alon.&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; Thanks for this, saved me some time!&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; Just a couple of addtions, please hash the password with SSHA (I really hate&#13;</font><br>

<font color="#000000">&gt;&gt; plain text admin passwords...)&#13;</font><br>

<font color="#000000">&gt;&gt; I tried putting an {SSHA} encoded password in &quot; vars.password =&quot; , but it&#13;</font><br>

<font color="#000000">&gt;&gt; fails to authenticate while plain text works fine.&#13;</font><br>

<font color="#000000">&gt; I am unsure I understand.&#13;</font><br>

<font color="#000000">&gt; using hash to store password hint at server side makes sense.&#13;</font><br>

<font color="#000000">&gt; but using hash to store password at client side does not makes sens, this means that if I get the server database I can authenticate to any user without knowing his password.&#13;</font><br>

<font color="#000000">&gt;&#13;</font><br>

<font color="#000000">&gt; Also, please note that the user you specify within configuration should not have any special privilege but to query public objects within ldap.&#13;</font><br>

I don't like storing plain text in textfiles, so I try to avoid it. Even&#13;<br>

if it is a read only user there are no &quot;public&quot; objects that I like to&#13;<br>

expose to anyone. I can query groups, group members, e-mail addresses,&#13;<br>

krbPasswordExpiration, krbLastPwdChange etc. with this user.&#13;<br>

&#13;<br>

So that's why I try to have the bind user password hashed in the&#13;<br>

properties file.&#13;<br>

<font color="#000000">&gt;&gt; For people with multiple ipa replica's I you guess you need to use:&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; Round robin configuration: vars.server1 = ipa1.din.intranet&#13;</font><br>

<font color="#000000">&gt;&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; vars.server2 = ipa2.din.intranet pool.default.serverset.type =&#13;</font><br>

<font color="#000000">&gt;&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; round-robin&#13;</font><br>

<font color="#000000">&gt;&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;pool.default.serverset.round-robin.1.server = ${global:vars.server1}&#13;</font><br>

<font color="#000000">&gt;&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;pool.default.serverset.round-robin.2.server = ${global:vars.server2}&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; instead of&#13;</font><br>

<font color="#000000">&gt;&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; vars.server = ipa1.din.intranet pool.default.serverset.single.server =&#13;</font><br>

<font color="#000000">&gt;&gt; ${global:vars.server}&#13;</font><br>

<font color="#000000">&gt;&gt; But I still have to test that as our second replica is down at the moment.&#13;</font><br>

<font color="#000000">&gt; Correct, there are multiple policies for you to choose from.&#13;</font><br>

<font color="#000000">&gt;&#13;</font><br>

<font color="#000000">&gt;&gt; Also can we get rid of the internal admin or better just disable internal&#13;</font><br>

<font color="#000000">&gt;&gt; authenticationt </font><br>

without problems? As we have ipa we don't want local login&#13;<br>

<font color="#000000">&gt;&gt; enabled, but in emergency situations we might need to turn it on quickly.&#13;</font><br>

<font color="#000000">&gt; Yes, you can disable the internal by creating /etc/ovirt-engine/engine.conf.d/50-disable-internal.conf&#13;</font><br>

<font color="#000000">&gt; ---&#13;</font><br>

<font color="#000000">&gt; ENGINE_EXTENSION_ENABLED_builtin-authn-internal = false&#13;</font><br>

<font color="#000000">&gt; ---&#13;</font><br>

<font color="#000000">&gt;&#13;</font><br>

<font color="#000000">&gt; Hmmm.... we have a bug in this case... will fix, so let's just disable the authz for now.&#13;</font><br>

<font color="#000000">&gt; ---&#13;</font><br>

<font color="#000000">&gt; ENGINE_EXTENSION_ENABLED_internal = false&#13;</font><br>

<font color="#000000">&gt; ---&#13;</font><br>

<font color="#000000">&gt;&#13;</font><br>

<font color="#000000">&gt; Regards,&#13;</font><br>

<font color="#000000">&gt; Alon&#13;</font><br>

thanks! that will work.&#13;<br>

&#13;<br>

&#13;<br>


<BR />

<BR />

<b style="color:#604c78"></b><br><span style="color:#604c78;"><font color="000000"><span style="mso-fareast-language:en-gb;" lang="NL">Met vriendelijke groet, With kind regards,<br><br></span>Jorick Astrego</font></span><b style="color:#604c78"><br><br>Netbulae Virtualization Experts </b><br><hr style="border:none;border-top:1px solid #ccc;"><table style="width: 522px"><tbody><tr><td style="width: 130px;font-size: 10px">Tel:  053 20 30 270</td>    <td style="width: 130px;font-size: 10px">info@netbulae.eu</td>    <td style="width: 130px;font-size: 10px">Staalsteden 4-3A</td>    <td style="width: 130px;font-size: 10px">KvK 08198180</td></tr><tr>    <td style="width: 130px;font-size: 10px">Fax: 053 20 30 271</td>    <td style="width: 130px;font-size: 10px">www.netbulae.eu</td>    <td style="width: 130px;font-size: 10px">7547 TA Enschede</td>    <td style="width: 130px;font-size: 10px">BTW NL821234584B01</td></tr></tbody></table><br><hr style="border:none;border-top:1px solid #ccc;"><BR />

</body>

</html>