<div dir="ltr"><div><div>Fixed.<br></div><div>The reason for this problem was pretty simple - DNS server provided wrong SRV records for kerberos stuff (my IPA deploy is in fact migration from IPA1 server to IPA2, and customer decided to install IPA2 on different server instead of upgrade in-place).<br>
</div><div>After I updated SRV records with the new IPA server, ipa-client-install works.<br></div><div><br></div>many thanks to all for your help,<br></div>Vitaly<br><div><div><div><div><div><div class="gmail_extra"><br>
<br><div class="gmail_quote">On Tue, Jun 25, 2013 at 2:38 PM, Petr Spacek <span dir="ltr"><<a href="mailto:pspacek@redhat.com" target="_blank">pspacek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">On 25.6.2013 12:09, Martin Kosek wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Sure, you just need to have properly configured /etc/krb5.conf (namely<br>
[domain_realm] mapping) and /etc/sssd/sssd.conf to look up the clients in this<br>
domain.<br>
</blockquote></div>
You don't need to configure [domain_realm] mapping manually if you have proper TXT records in DNS && /etc/krb5.conf contains this:<div class="im HOEnZb"><br>
<br>
dns_lookup_realm = true<br>
dns_lookup_kdc = true<br>
<br></div><span class="HOEnZb"><font color="#888888">
-- <br>
Petr^2 Spacek</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
______________________________<u></u>_________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com" target="_blank">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/<u></u>mailman/listinfo/freeipa-users</a><br>
</div></div></blockquote></div><br></div></div></div></div></div></div></div>