<font size=2 face="sans-serif">Dear Alexander,</font><br><br><font size=2 face="sans-serif">If I use '</font><font size=2 color=#2f2f2f face="Consolas">ipa-replica-prepare</font><font size=2 face="sans-serif">'
to replica Windows AD to/from IPA AD, Will all user account in Windows
AD 'copy' to IPA AD, and my IPA client can logon with Windows AD username
only? (only use 'userA' to login directly, not 'userA@win_ad.com').</font><br><br><font size=2 face="sans-serif">Or after replication, can I use IPA
account logon Windows Client PC only with ipa username? (only use 'userB'
logon, rather than 'userB@ipa_ad.com' to logon).</font><br><br><font size=2 face="sans-serif">Thank you very much</font><br><font size=2 face="sans-serif">Kevin Tang</font><br><br><br><br><br><font size=1 color=#5f5f5f face="sans-serif">From:      
 </font><font size=1 face="sans-serif">Alexander Bokovoy <abokovoy@redhat.com></font><br><font size=1 color=#5f5f5f face="sans-serif">To:      
 </font><font size=1 face="sans-serif">KevinTang@umac.mo</font><br><font size=1 color=#5f5f5f face="sans-serif">Cc:      
 </font><font size=1 face="sans-serif">freeipa-users@redhat.com</font><br><font size=1 color=#5f5f5f face="sans-serif">Date:      
 </font><font size=1 face="sans-serif">09/11/2013 12:52 PM</font><br><font size=1 color=#5f5f5f face="sans-serif">Subject:    
   </font><font size=1 face="sans-serif">Re: [Freeipa-users]
IPA AD Trust issue</font><br><hr noshade><br><br><br><tt><font size=2>On Wed, 11 Sep 2013, KevinTang@umac.mo wrote:<br>>Dear all,<br>><br>>I am new to IPA and have some question about set up.<br>>I already setup IPA server (CentOS 6.4 64bit), IPA client (CentOS 6.4<br>>64bit), and Windows AD (Windows 2008 R2 Standard 64bit). IPA Server
and<br>>Windows AD already have 2-ways trusted. Windows AD user can logon under<br>>IPA client PC.<br>><br>>I have 3 question about further setup.<br>><br>>1)  IPA Client Login issue.<br>>In IPA client, if Windows AD user want to login, It need to type full
name<br>>such as 'userA@win_ad.com'. How do I let Windows AD user logon only
with<br>>their username? That means only use 'userA' to logon IPA Client PC
rather<br>>than 'userA@win_ad.com' ?<br>Not supported. There could be some obscure SSSD setting to allow one<br>SSSD domain (as in /etc/sss/sssd.conf) be default but since trusted AD<br>domains are represented as subdomains of a single IPA provider, full UPN
is<br>used to distinguish and discover which subdomain they belong to for<br>performance reasons.<br><br>>2) Windows Login issue.<br>>I want to logon under Windows AD Client PC (Client PC's OS is Windows
7),<br>>Since this Windows PC already join win_ad domain, it can allow Windows
AD<br>>domain user to logon. But when I try to logon IPA user, for example,
logon<br>>as 'userB@ipa_ad.com' or 'ipa_ad.com\userB'. It always show 'There
are<br>>currently no logon servers available to service the logon request.'
and<br>>does not allow IPA user to logon. How do I do now? I need to modify<br>>Windows AD setting? or Windows client PC setting?<br>We do not support this mode yet, it requires implementation of Global<br>Catalog service on IPA side which is not done yet. Plans for doing that<br>are in Fedora 20-21 time frame.<br><br>>3) Windows Login issue.<br>>Can I login under Windows AD Client PC with IPA username only (not
include<br>>IPA domain)? that is, only use 'userB' as username to login?<br>No. Only users from the domain Windows PC is joined to could be logged<br>without explicit domain name. Since IPA domain belongs to a separate<br>forest, you cannot log in without explicit domain prefix. Please note,
even<br>that will only be possible when we implement Global Catalog service on<br>IPA side.<br><br>-- <br>/ Alexander Bokovoy<br></font></tt><br><BR>