<tt><font size=2>> From: Dmitri Pal <dpal@redhat.com></font></tt>
<br><tt><font size=2>> >> I want also my AD users (from IPA trust)
to login inside thru ssh but <br>
> >> afaik this seems to have some older SSSD version and same
configuration <br>
> >> options that goes ok with CentOS 6 ipa-client wont work with
CentOS 5. <br>
> >><br>
> >> So what should i modify that i can login to my CentOS 5 machine
that i can <br>
> >> to login AD trust users from IPA? Is there newer SSSD daemon
available for <br>
> >> centos 5?<br>
> >><br>
> > No, it is not and it would be quite hard to build it, I think.
You'd<br>
> > need pretty recent version of Kerberos to support the PAC responder
that<br>
> > handles users coming via trusts for instance.<br>
> <br>
> Yes this is quite a problem with the current solution.<br>
</font></tt>
<br><tt><font size=2>Is there any guides for rhel 5.x/centos 5.x when using
IPA and if that same </font></tt>
<br><tt><font size=2>system needs also AD users logins enabled, should
we just enable some PAM module </font></tt>
<br><tt><font size=2>and all works if SSSD/IPA is also used?</font></tt>
<br>
<br><tt><font size=2>> But we are looking for some ways to mitigate
that.<br>
> Question for you about the older systems:<br>
> <br>
> What would you prefer: those systems pointing to IPA and IPA having
a<br>
> way to serve account and authentication or point them directly to
AD?<br>
> Do you require kerberos authentication and SSO from those machines
or<br>
> simple LDAP authentication is OK?<br>
> Do you have a requirement for all the authentications to actually
happen<br>
> in AD for audit purposes or they can happen in IPA when users come
from<br>
> the old clients and in AD with trusts when users access newer clients?<br>
> <br>
> Thanks for the input!<br>
> <br>
> Dmitri<br>
</font></tt>
<br><tt><font size=2>For me, would be good if all comes from (thru) IPA,
but thats not </font></tt>
<br><tt><font size=2>an requirement for me.</font></tt>
<br>
<br>