<div dir="ltr">Thanks, That was what I missed.</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Feb 5, 2014 at 2:39 AM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Tue, 04 Feb 2014, Mark Gardner wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I'm trying to configure our CentOS IPA Client for Single Sign On from our<br>
trusted AD domain.<br>
SSO works fine when I ssh to the IPA server, but not to the CentOS Client.<br>
It prompts for password which it accepts, so it's getting the<br>
authentication from the AD domain.<br>
<br>
Fedora 20 IPA Server<br>
CentOS 6.5 IPA Client<br>
Win 2012 AD Domain Server<br>
<br>
Setup as IPA as a subdomain of AD.<br>
AD Domain: test.local<br>
IPA Domain: hosted.test.local<br>
<br>
Anybody run into this?  Suggestions?<br>
</blockquote></div></div>
Each client needs to be configured to accept AD users' SSO.<br>
<br>
Check that /etc/krb5.conf contains auth_to_local rules mapping principals from<br>
AD to their names as returned by SSSD.<br>
<br>
SSH daemon is picky about principal/name mapping.<span class="HOEnZb"><font color="#888888"><br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>