<div dir="ltr">OK,<div><br></div><div>I know this is an old thread, but I just got a new idea.</div><div><br></div><div>What if I create a NT4 style domain on our SAMBA servers, So I have a Samba NT4 style PDC. Then I create a NT4 style trust with the AD domain. This way, I don't use kerberos nor DNS SRV records, both of which are needed if I would go the AD route. But now, users from the AD domain can access Samba shares.</div>
<div><br></div><div>Correct? </div><div class="gmail_extra"><br clear="all"><div><div><font color="#3366ff">Fred</font></div></div><br><div class="gmail_quote">On Wed, Jul 3, 2013 at 4:19 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Wed, 03 Jul 2013, Fred van Zwieten wrote:<br>
</div><div class="im">>1. Do you have the same realms for both IPA and AD?<br>
>Yes.<br>
><br>
>2. Do you have exactly same DNS domains for both IPA and AD?<br>
>Also yes. Because of this we must, for now, maintain 2 seperate DNS<br>
>implementations: one for AD and one for IPA, because otherwise the service<br>
>records would name-clash.<br>
><br>
>If I get correctly from the above description, your new RHEL 6.4 server<br>
>is enrolled into IPA domain, i.e. its host keytab contains keys to<br>
>the host service coming from IPA KDC. It probably also uses SSSD in both<br>
>nsswitch and PAM configurations?<br>
>Correct!<br>
><br>
>Are you planning to use pam_winbind/nss_winbind for the Samba/AD<br>
>interoperability?<br>
>I don't know yet. It depends on what works best with this setup. I am not<br>
>(yet) a Samba wunderguy, so these discussions help me (thanks for that).<br>
</div>I'm not sure that this configuration will work flawlessly.<br>
<br>
If the host is not enrolled to IPA realm, you can easily make it<br>
working against AD domain. If you enrolled the host to IPA realm which<br>
is exactly same as AD domain, both DNS and krb5.conf collisions will be<br>
creating quite serious issues. Basically, it is 'either - either' case.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div></div>