<div dir="ltr">Thanks.<div><br></div><div>When i am trying to accesses user with password i am getting below message in logs.</div><div><br></div><div><b>Aug 18 09:38:17 ilt-gif-ipa02 [sssd[krb5_child[8505]]]: Cannot find KDC for realm "<a href="http://ADDOMAON.COM">ADDOMAON.COM</a>"</b></div><div><br></div><div><p class="MsoNormal" style="margin-bottom:0.0001pt"><span style="font-family:"MS Sans Serif",serif;color:black">when i connect through ssh, it tries to contact the KDC for the
realm </span><b><a href="http://ADDOMAON.COM">ADDOMAON.COM</a></b></p>

<p class="MsoNormal" style="margin-bottom:0.0001pt"><span style="font-family:"MS Sans Serif",serif;color:black">which should be <a href="http://corp.addomain.com">corp.addomain.com</a></span></p><p class="MsoNormal" style="margin-bottom:0.0001pt"><span style="font-family:"MS Sans Serif",serif;color:black"><br></span></p><p class="MsoNormal" style="margin-bottom:0.0001pt">Do you have any further comments or suggestions that may help us.</p><p class="MsoNormal" style="margin-bottom:0.0001pt"><br></p><p class="MsoNormal" style="margin-bottom:0.0001pt">/Rajat</p></div><div> <br><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Aug 16, 2016 at 2:46 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, 16 Aug 2016, rajat gupta wrote:<br>
</span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
Hi,<br>
<br>
<br>
I have done IPA AD trust between IPA and AD server. But trust is showing<br>
offline always. But we are able to get the AD user information. And able to<br>
grant the  KRB ticket.<br>
<br>
<br>
<br>
# wbinfo --online-status<br>
BUILTIN : online<br>
IPA : online<br></span>
*CORP : offline*<br>
</blockquote>
Don't use wbinfo. Its output is irrelevant starting from FreeIPA 3.3.<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
<br>
#id <a href="mailto:aduser@CORP.ADDOMAIN.COM" target="_blank">aduser@CORP.ADDOMAIN.COM</a><br>
uid=1007656917(<a href="mailto:aduser@corp.addomain.com" target="_blank">aduser@corp.add<wbr>omain.com</a>) gid=1007656917(<br>
<a href="mailto:aduser@corp.addomain.com" target="_blank">aduser@corp.addomain.com</a>) groups=1007656917(<a href="mailto:aduser@corp.addomain.com" target="_blank">aduser@corp.<wbr>addomain.com</a><br>
),1007715891(prg-msoffice2013p<wbr>ro(kms)@<a href="http://corp.addomain.com" rel="noreferrer" target="_blank">corp.addomain.com</a>),<wbr>1007663829(<br>
<a href="mailto:da-eeg-intra-read@corp.addomain.com" target="_blank">da-eeg-intra-read@corp.addomai<wbr>n.com</a>),1007600513(domain<span class=""><br>
<a href="mailto:users@corp.addomain.com" target="_blank">users@corp.addomain.com</a>)<br>
<br>
<br>
[root@ilt-gif-ipa01 ~]# kinit  <a href="mailto:aduser@CORP.ADDOMAIN.COM" target="_blank">aduser@CORP.ADDOMAIN.COM</a><br>
Password for <a href="mailto:aduser@CORP.ADDOMAIN.COM" target="_blank">aduser@CORP.ADDOMAIN.COM</a>:<br>
[root@ilt-gif-ipa01 ~]#<br>
[root@ilt-gif-ipa01 ~]#<br>
[root@ilt-gif-ipa01 ~]# klist<br>
Ticket cache: KEYRING:persistent:0:0<br>
Default principal: <a href="mailto:aduser@CORP.ADDOMAIN.COM" target="_blank">aduser@CORP.ADDOMAIN.COM</a><br>
<br>
Valid starting       Expires              Service principal<br>
08/11/2016 13:11:35  08/11/2016 23:11:35  krbtgt/<br>
<a href="mailto:CORP.ADDOMAIN.COM@CORP.ADDOMAIN.COM" target="_blank">CORP.ADDOMAIN.COM@CORP.ADDOMAI<wbr>N.COM</a><br>
       renew until 08/12/2016 13:11:29<br>
[root@ilt-gif-ipa01 ~]#<br>
</span></blockquote>
This is irrelevant for the trust case because you are authenticating<br>
against AD DCs, not IPA KDCs.<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
<br>
<br>
<br>
Form IPA client server we are able to get the all thinks ( KRB ticket/<br>
user/groups )<br>
<br>
[root@ilt-gif-ipa02 ~]# getent passwd <a href="mailto:aduser@CORP.addomain.COM" target="_blank">aduser@CORP.addomain.COM</a><br>
aduser@corp.addomain.com:*:100<wbr>7656917:1007656917:USER  NAME:/home/<br>
<a href="http://corp.addomain.com/aduser" rel="noreferrer" target="_blank">corp.addomain.com/aduser</a>:<br>
[root@ilt-gif-ipa02 ~]#<br>
<br>
<br>
[root@ilt-gif-ipa02 ~]# getent group <a href="mailto:aduser@CORP.addomain.COM" target="_blank">aduser@CORP.addomain.COM</a><br>
aduser@corp.addomain.com:*:100<wbr>7656917:<br>
[root@ilt-gif-ipa02 ~]#<br>
<br>
<br>
[root@ilt-gif-ipa02 ~]# id <a href="mailto:aduser@CORP.addomain.COM" target="_blank">aduser@CORP.addomain.COM</a><br>
uid=1007656917(<a href="mailto:aduser@corp.addomain.com" target="_blank">aduser@corp.add<wbr>omain.com</a>) gid=1007656917(<br>
<a href="mailto:aduser@corp.addomain.com" target="_blank">aduser@corp.addomain.com</a>) groups=1007656917(<a href="mailto:aduser@corp.addomain.com" target="_blank">aduser@corp.<wbr>addomain.com</a><br>
),1007715891(prg-msoffice2013p<wbr>ro(kms)@<a href="http://corp.addomain.com" rel="noreferrer" target="_blank">corp.addomain.com</a>),<wbr>1007663829(<br>
<a href="mailto:da-eeg-intra-read@corp.addomain.com" target="_blank">da-eeg-intra-read@corp.addomai<wbr>n.com</a>),1007600513(domain<br>
<a href="mailto:users@corp.addomain.com" target="_blank">users@corp.addomain.com</a>),10077<wbr>25088(<a href="mailto:tfs_users@corp.addomain.com" target="_blank">tfs_users@corp.addomain.<wbr>com</a>)<br>
<br>
<br>
Also we are to ssh  to IPA client on same machine or from some other<br>
machine with gss authentication. But using password authentication it’s<br>
failed to login.<br>
<br></span>
*ERROR:- pam_sss(sshd:auth): authentication failure; logname*<div><div class="h5"><br>
<br>
<br>
kinit <a href="mailto:aduser@CORP.ADDOMAIN.COM" target="_blank">aduser@CORP.ADDOMAIN.COM</a><br>
Password for <a href="mailto:aduser@CORP.ADDOMAIN.COM" target="_blank">aduser@CORP.ADDOMAIN.COM</a>:<br>
<br>
<br>
<br>
[root@ilt-gif-ipa02 ~]# ssh -vl <a href="mailto:aduser@corp.addomain.com" target="_blank">aduser@corp.addomain.com</a><br>
ilt-gif-ipa02.ipa.preprod.loca<wbr>l<br>
OpenSSH_6.6.1, OpenSSL 1.0.1e-fips 11 Feb 2013<br>
debug1: Reading configuration data /etc/ssh/ssh_config<br>
debug1: /etc/ssh/ssh_config line 60: Applying options for *<br>
debug1: Executing proxy command: exec /usr/bin/sss_ssh_knownhostspro<wbr>xy -p<br>
22 ilt-gif-ipa02.ipa.preprod.loca<wbr>l<br>
debug1: permanently_set_uid: 0/0<br>
debug1: permanently_drop_suid: 0<br>
debug1: identity file /root/.ssh/id_rsa type -1<br>
debug1: identity file /root/.ssh/id_rsa-cert type -1<br>
debug1: identity file /root/.ssh/id_dsa type -1<br>
debug1: identity file /root/.ssh/id_dsa-cert type -1<br>
debug1: identity file /root/.ssh/id_ecdsa type -1<br>
debug1: identity file /root/.ssh/id_ecdsa-cert type -1<br>
debug1: identity file /root/.ssh/id_ed25519 type -1<br>
debug1: identity file /root/.ssh/id_ed25519-cert type -1<br>
debug1: Enabling compatibility mode for protocol 2.0<br>
debug1: Local version string SSH-2.0-OpenSSH_6.6.1<br>
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.6.1<br>
debug1: match: OpenSSH_6.6.1 pat OpenSSH_6.6.1* compat 0x04000000<br>
debug1: SSH2_MSG_KEXINIT sent<br>
debug1: SSH2_MSG_KEXINIT received<br>
debug1: kex: server->client aes128-ctr <a href="mailto:hmac-md5-etm@openssh.com" target="_blank">hmac-md5-etm@openssh.com</a> none<br>
debug1: kex: client->server aes128-ctr <a href="mailto:hmac-md5-etm@openssh.com" target="_blank">hmac-md5-etm@openssh.com</a> none<br>
debug1: kex: <a href="mailto:curve25519-sha256@libssh.org" target="_blank">curve25519-sha256@libssh.org</a> need=16 dh_need=16<br>
debug1: kex: <a href="mailto:curve25519-sha256@libssh.org" target="_blank">curve25519-sha256@libssh.org</a> need=16 dh_need=16<br>
debug1: sending SSH2_MSG_KEX_ECDH_INIT<br>
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY<br>
debug1: Server host key: ECDSA<br>
f0:e6:b2:66:c8:41:06:4e:83:a4:<wbr>a2:c5:5a:57:24:66<br>
debug1: Host 'ilt-gif-ipa02.ipa.preprod.loc<wbr>al' is known and matches the<br>
ECDSA host key.<br>
debug1: Found key in /root/.ssh/known_hosts:3<br>
debug1: ssh_ecdsa_verify: signature correct<br>
debug1: SSH2_MSG_NEWKEYS sent<br>
debug1: expecting SSH2_MSG_NEWKEYS<br>
debug1: SSH2_MSG_NEWKEYS received<br>
debug1: SSH2_MSG_SERVICE_REQUEST sent<br>
debug1: SSH2_MSG_SERVICE_ACCEPT received<br>
debug1: Authentications that can continue:<br>
publickey,gssapi-keyex,gssapi-<wbr>with-mic,password<br>
debug1: Next authentication method: gssapi-keyex<br>
debug1: No valid Key exchange context<br>
debug1: Next authentication method: gssapi-with-mic<br></div></div>
*debug1: Authentication succeeded (gssapi-with-mic).*<span class=""><br>
Authenticated to ilt-gif-ipa02.ipa.preprod.loca<wbr>l (via proxy).<br>
debug1: channel 0: new [client-session]<br>
debug1: Requesting <a href="mailto:no-more-sessions@openssh.com" target="_blank">no-more-sessions@openssh.com</a><br>
debug1: Entering interactive session.<br>
debug1: Sending environment.<br>
debug1: Sending env LANG = en_US.UTF-8<br>
Last login: Thu Aug 11 13:17:05 2016 from ilt-gif-ipa02.ipa.preprod.loca<wbr>l<br>
<br>
RHN kickstart on 2014-10-16<br>
<br>
-sh-4.2$ pwd<br>
/home/<a href="http://corp.addomain.com/aduser" rel="noreferrer" target="_blank">corp.addomain.com/aduser</a><br>
-sh-4.2$ who am i<br>
<a href="mailto:aduser@corp.addomain.com" target="_blank">aduser@corp.addomain.com</a> pts/3        2016-08-11 13:19<br>
(ilt-gif-ipa02.ipa.preprod.loc<wbr>al)<br>
-sh-4.2$<br>
<br>
<br>
<br>
]# ssh  aduser@corp.addomain.com@ilt-g<wbr>if-ipa02.ipa.preprod.local<br>
e600336@corp.corpcommon.com@il<wbr>t-gif-ipa02.ipa.preprod.local'<wbr>s password:<br>
Permission denied, please try again.<br>
e600336@corp.corpcommon.com@il<wbr>t-gif-ipa02.ipa.preprod.local'<wbr>s password:<br>
<br>
<br>
Can you please help me i am not able to login with AD user<br>
password authentication.<br>
</span></blockquote>
If you cannot login with password but can with Kerberos credentials, you<br>
need to look into SSSD logs on the ilt-gif-ipa02.ipa.preprod.loca<wbr>l host.<br>
See <a href="https://fedorahosted.org/sssd/wiki/Troubleshooting" rel="noreferrer" target="_blank">https://fedorahosted.org/sssd/<wbr>wiki/Troubleshooting</a><span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><b>Rajat Gupta<br>
</b><b><img style="margin:0pt 0.2ex;vertical-align:middle" src="http://../1/e/330"></b></div></div>
</div>