<div dir="ltr">Well, as explained in this thread, the problem here is that we have an IPA domain named "<a href="http://MYCOMP.EDU">MYCOMP.EDU</a>" _and_ an AD domain named "<a href="http://MYCOMP.EDU">MYCOMP.EDU</a>" as well. Both have there own DNS servers. It's beyond the scope of this mail to explain why we have named them exactly the same, and we do wish we didn't, but this is the current situation. Migrating any of these to another domain name would be the best solution but would involve quite a lot of work.<div>
<br></div><div>So now we have a bunch of SAMBA services running on RHEL6.4 boxes that are IPA-clients and we would like to give the AD users access to them. How to proceed? We cannot use an IPA - AD trust, because both domains have the same name. We also cannot make the SAMBA services member of the AD domain, because the server itself is an IPA-member and krb5.conf already points to the IPA servers for domain <a href="http://MYCOMP.EDU">MYCOMP.EDU</a>.. Also /etc/resolv points to the DNS services of IPA.</div>
<div><br></div><div>See my problem? If not, read the whole mail thread..</div><div><br></div><div>It get's even more complicated. The AD "<a href="http://MYCOMP.EDU">MYCOMP.EDU</a>" domain has a trust with an AD "<a href="http://OTHERCOMP.EDU">OTHERCOMP.EDU</a>" and users in "<a href="http://OTHERCOMP.EDU">OTHERCOMP.EDU</a>" must access resource in "<a href="http://MYCOMP.EDU">MYCOMP.EDU</a>". There is a trust between the AD domain "<a href="http://MYCOMP.EDU">MYCOMP.EDU</a>" and the AD domain "<a href="http://OTHERCOMP.EDU">OTHERCOMP.EDU</a>". This works. We have some shares on a NetApp filer who is member of the AD domain "<a href="http://MYCOMP.EDU">MYCOMP.EDU</a>" and people from "<a href="http://OTHERCOMP.EDU">OTHERCOMP.EDU</a>" can successfully access those shares (given correct group membership offcourse).</div>
<div><br></div><div>Now, we would like to have peoply in the AD domains "<a href="http://OTHERCOMP.EDU">OTHERCOMP.EDU</a>" and "<a href="http://MYCOMP.EDU">MYCOMP.EDU</a>" to access shares served by SAMBA services on RHEL64 machines that are IPA clients in the IPA domain "<a href="http://MYCOMP.EDU">MYCOMP.EDU</a>".</div>
<div><br></div><div>As all out RHEL servers are IPA clients by default we also want the servers running SAMBA to stay IPA-clients for system level central administration of users, groups, sudo policies, hbac, etc.</div><div>
<br></div><div>Now, how to proceed:</div><div><br></div><div>I see 2 possible solutions (besides byting the bullet and name change one of the MYCOMP domains):</div><div><br></div><div>Solution 1:</div><div>Create an intermediary domain. This gives the following trust relationships:</div>
<div><br></div><div>AD(<a href="http://OTHERCOMP.EDU">OTHERCOMP.EDU</a>) <--trusts-- AD(<a href="http://MYCOMP.EDU">MYCOMP.EDU</a>) <--trusts-- AD(<a href="http://MYCOMP-INTERMEDIARY.EDU">MYCOMP-INTERMEDIARY.EDU</a>) <--trusts-- IPA(<a href="http://MYCOMP.EDU">MYCOMP.EDU</a>). I don't like this one and I am not even sure it solves my problem. Another problem involves adding to (virtual) Windows boxes to maintain this domain.</div>
<div><br></div><div>Solution 2:</div><div>Make a SAMBA only domain. Make one of the SAMBA servers a PDC and one BDC. Make a NT-4 style trust to the AD domain <a href="http://MYCOMP.EDU">MYCOMP.EDU</a>. NT-4 style to have no Kerberos involvement as that is used for IPA. Also no DNS clashes as NT-4 style doesn't use DNS SRV records.</div>
<div><br></div><div>AD(<a href="http://OTHERCOMP.EDU">OTHERCOMP.EDU</a>) <--trusts-- AD(<a href="http://MYCOMP.EDU">MYCOMP.EDU</a>) <--nt-4-trusts-- NT4(MYCOMP-SAMBA)<br></div><div><br></div><div>Now, giving correct group memberships and all, users in <a href="http://OTHERCOMP.EDU">OTHERCOMP.EDU</a> should be able to access shares in MYCOMP-SAMBA.</div>
<div><br></div><div>Correct?<br></div><div><br></div></div>