<div dir="rtl"><div dir="ltr" style="text-align:left">Thank you for the help!<br></div><div dir="ltr" style="text-align:left">I have preformed downgrade:<br><br>yum downgrade samba4*<br><br>[root@ipaserver1 ~]# rpm -qa | grep samb<br>
samba4-python-4.0.0-58.el6.rc4.x86_64<br>samba4-winbind-4.0.0-58.el6.rc4.x86_64<br>samba4-common-4.0.0-58.el6.rc4.x86_64<br>samba4-winbind-clients-4.0.0-58.el6.rc4.x86_64<br>samba4-libs-4.0.0-58.el6.rc4.x86_64<br>samba4-client-4.0.0-58.el6.rc4.x86_64<br>
samba4-4.0.0-58.el6.rc4.x86_64<br><br></div><div dir="ltr" style="text-align:left">And it worked !<br><br></div><div dir="ltr" style="text-align:left"><u>I am now able to perform login via "ssh" and su on to the ipaserver with AD users:</u><br>
<br>[root@ipaserver1 ~]# su <a href="mailto:Genadi@ADEXAMPLE.COM">Genadi@ADEXAMPLE.COM</a><br>sh-4.1$<br><br></div><div dir="ltr" style="text-align:left"><u>and wbinfo and getent return values:</u><br><br>[root@ipaserver1 ~]# wbinfo -u<br>
ADEXAMPLE\administrator<br>ADEXAMPLE\guest<br>ADEXAMPLE\genadi<br>ADEXAMPLE\krbtgt<br>ADEXAMPLE\linux$<br>ADEXAMPLE\daniel<br><br>[root@ipaserver1 ~]# wbinfo -g<br>admins<br>editors<br>default smb group<br>ad_users<br>ADEXAMPLE\domain computers<br>
ADEXAMPLE\domain controllers<br>ADEXAMPLE\schema admins<br>ADEXAMPLE\enterprise admins<br>ADEXAMPLE\domain admins<br>ADEXAMPLE\domain users<br>ADEXAMPLE\domain guests<br>ADEXAMPLE\group policy creator owners<br>ADEXAMPLE\read-only domain controllers<br>
ADEXAMPLE\enterprise read-only domain controllers<br>ADEXAMPLE\dnsupdateproxy<br> <br></div><div dir="ltr" style="text-align:left">[root@ipaserver1 ~]# getent passwd <a href="mailto:Genadi@ADEXAMPLE.COM">Genadi@ADEXAMPLE.COM</a><br>
genadi@adexample.com:*:699001000:699001000::/home/<a href="http://adexample.com/genadi">adexample.com/genadi</a>:<br><br></div><div dir="ltr" style="text-align:left"><u>After this success, i have tried to execute a login on client machine (using AD user), but it did not work:</u><br>
<br>[root@ipaclient1 ~]# su <a href="mailto:Genadi@ADEXAMPLE.COM">Genadi@ADEXAMPLE.COM</a><br>su: user <a href="mailto:Genadi@ADEXAMPLE.COM">Genadi@ADEXAMPLE.COM</a> does not exist<br><br></div><div dir="ltr" style="text-align:left">
<u>Also wbinfo and getent do not return value:</u><br></div><div dir="ltr" style="text-align:left"><br>[root@ipaclient1 ~]# wbinfo -u<br>[root@ipaclient1 ~]# wbinfo -g<br>[root@ipaclient1 ~]# getent passwd <a href="mailto:Genadi@ADEXAMPLE.COM">Genadi@ADEXAMPLE.COM</a><br>
<br></div><div dir="ltr" style="text-align:left"><div style="text-align:left"><u>Therefore i have preformed downgrade:</u><br><br>yum downgrade samba4*<br><br>[root@ipaclient1 ~]# rpm -qa | grep samb<br>samba-winbind-clients-3.6.9-167.el6_5.x86_64<br>
samba-common-3.6.9-167.el6_5.x86_64<br>samba-winbind-3.6.9-167.el6_5.x86_64<br>samba4-libs-4.0.0-58.el6.rc4.x86_64<br><br></div><div style="text-align:left"><u>After the downgrade the login attempt still failed:<br></u><br>
</div>[root@ipaclient1 ~]# su <a href="mailto:Genadi@ADEXAMPLE.COM">Genadi@ADEXAMPLE.COM</a><br>su: user <a href="mailto:Genadi@ADEXAMPLE.COM">Genadi@ADEXAMPLE.COM</a> does not exist<br><br></div><div dir="ltr" style="text-align:left">
<u>I wonder if the fact that ipa-windbind-client is 3.6.9, is the cause.</u><br><br></div><div dir="ltr" style="text-align:left"><u>Also here are the client configuration file:</u><br></div><div dir="ltr" style="text-align:left">
<br></div><div dir="ltr" style="text-align:left"><b><u><font size="4">sssd<br><br></font></u></b></div><div dir="ltr" style="text-align:left">[root@ipaclient1 ~]# cat /etc/sssd/sssd.conf<br>[domain/<a href="http://linux.adexample.com">linux.adexample.com</a>]<br>
<br>cache_credentials = True<br>krb5_store_password_if_offline = True<br>ipa_domain = <a href="http://linux.adexample.com">linux.adexample.com</a><br>id_provider = ipa<br>auth_provider = ipa<br>access_provider = ipa<br>ipa_hostname = <a href="http://ipaclient1.linux.adexample.com">ipaclient1.linux.adexample.com</a><br>
chpass_provider = ipa<br>ipa_dyndns_update = True<br>ipa_server = _srv_, <a href="http://ipaserver1.linux.adexample.com">ipaserver1.linux.adexample.com</a><br>ldap_tls_cacert = /etc/ipa/ca.crt<br>subdomains_provider = ipa<br>
[sssd]<br>services = nss, pam, ssh, pac<br>config_file_version = 2<br><br>domains = <a href="http://linux.adexample.com">linux.adexample.com</a><br>[nss]<br><br>[pam]<br><br>[sudo]<br><br>[autofs]<br><br>[ssh]<br><br>[pac]<br>
<br><br></div><div dir="ltr" style="text-align:left"><font size="4"><b><u>krb5</u></b></font><br><br>[root@ipaclient1 ~]# cat /etc/krb5.conf<br>#File modified by ipa-client-install<br><br>includedir /var/lib/sss/pubconf/krb5.include.d/<br>
<br>[libdefaults]<br>  default_realm = <a href="http://LINUX.ADEXAMPLE.COM">LINUX.ADEXAMPLE.COM</a><br>  dns_lookup_realm = true<br>  dns_lookup_kdc = true<br>  rdns = false<br>  ticket_lifetime = 24h<br>  forwardable = yes<br>
<br>[realms]<br>  <a href="http://LINUX.ADEXAMPLE.COM">LINUX.ADEXAMPLE.COM</a> = {<br>    pkinit_anchors = FILE:/etc/ipa/ca.crt<br>    auth_to_local = RULE:[1:$1@$0](^.*@<a href="http://ADEXAMPLE.COM">ADEXAMPLE.COM</a>$)s/@<a href="http://ADEXAMPLE.COM/@adexample.com/">ADEXAMPLE.COM/@adexample.com/</a><br>
    auth_to_local = DEFAULT<br>  }<br><br>[domain_realm]<br>  .<a href="http://linux.adexample.com">linux.adexample.com</a> = <a href="http://LINUX.ADEXAMPLE.COM">LINUX.ADEXAMPLE.COM</a><br>  <a href="http://linux.adexample.com">linux.adexample.com</a> = <a href="http://LINUX.ADEXAMPLE.COM">LINUX.ADEXAMPLE.COM</a><br>
<br><br></div><div dir="ltr" style="text-align:left"><u>And again - Thanks you. I was stuck on it for log time.</u><br></div><div dir="ltr" style="text-align:left"><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
<div dir="ltr">2014-02-17 10:34 GMT+02:00 Sumit Bose <span dir="ltr"><<a href="mailto:sbose@redhat.com" target="_blank">sbose@redhat.com</a>></span>:</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5">On Sat, Feb 15, 2014 at 12:14:58AM +0200, Genadi Postrilko wrote:<br>
> I have seen threads where opened on trust issues:<br>
> "AD - Freeipa trust confusion"<br>
> "Cross domain trust"<br>
> "Cannot loging via SSH with AD user TO IPA Domain" - which I opened.<br>
><br>
> It looks like after creation of trust, TGT ticket can be issued from AD,<br>
> but "su" and "ssh" do not allow a log in with AD user.<br>
> I'm not sure if a conclusion has been reached on this subject.<br>
><br>
> I gave it a try again and attempted to create a trust with IPA as a DNS<br>
> subdomain of AD.<br>
> I followed :<br>
> <a href="https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/trust-ipa-subdomain.html" target="_blank">https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/trust-ipa-subdomain.html</a><br>

><br>
> AD domain: <a href="http://ADEXAMPLE.COM" target="_blank">ADEXAMPLE.COM</a><br>
> IPA subdoamin: <a href="http://LINUX.ADEXAMPLE.COM" target="_blank">LINUX.ADEXAMPLE.COM</a><br>
><br>
> When i finished the necessary steps i attempted to retrieve a TGT from AD<br>
> (while logged in to IPA server):<br>
><br>
> [root@ipaserver1 sbin]# kinit <a href="mailto:Administrator@ADEXAMPLE.COM">Administrator@ADEXAMPLE.COM</a><br>
> Password for <a href="mailto:Administrator@ADEXAMPLE.COM">Administrator@ADEXAMPLE.COM</a>:<br>
> [root@ipaserver1 sbin]# klist<br>
> Ticket cache: FILE:/tmp/krb5cc_0<br>
> Default principal: <a href="mailto:Administrator@ADEXAMPLE.COM">Administrator@ADEXAMPLE.COM</a><br>
><br>
> Valid starting     Expires            Service principal<br>
> 02/14/14 07:50:21  02/14/14 17:50:20  krbtgt/<a href="mailto:ADEXAMPLE.COM@ADEXAMPLE.COM">ADEXAMPLE.COM@ADEXAMPLE.COM</a><br>
>         renew until 02/15/14 07:50:21<br>
><br>
> But logging in by "ssh" and "su" ended in failure:<br>
><br>
> login as: <a href="mailto:Administrator@ADEXAMPLE.COM">Administrator@ADEXAMPLE.COM</a><br>
> Administrator@ADDC.COM@<a href="http://192.168.227.201" target="_blank">192.168.227.201</a>'s password:<br>
> Access denied<br>
><br>
> After reading<br>
> <a href="http://www.freeipa.org/page/IPAv3_testing_AD_trust#Create_a_trust_to_an_AD_domaini" target="_blank">http://www.freeipa.org/page/IPAv3_testing_AD_trust#Create_a_trust_to_an_AD_domaini</a><br>
> did the following on the AD server:<br>
><br>
> Administrative Tools -> Active Directory Domains and Trust -><br>
</div></div>> <a href="http://adexample.com" target="_blank">adexample.com</a>(right click) -> Properties -> Trust -> Domain Trusted by<br>
<div class="">> this domain<br>
> (outgoing trust) -> Properties -> General -> Validate<br>
><br>
</div>> *After doing this i was able to login via "ssh" and "su" with<br>
> "Administrator" **user :*<br>
<div class="">><br>
> login as: <a href="mailto:Administrator@ADEXAMPLE.COM">Administrator@ADEXAMPLE.COM</a><br>
> Administrator@ADEXAMPLE.COM@<a href="http://192.168.227.201" target="_blank">192.168.227.201</a>'s password:<br>
> Last login: Wed Feb 12 14:39:49 2014 from 192.168.227.1<br>
> Could not chdir to home directory /home/<a href="http://adexample.com/administrator" target="_blank">adexample.com/administrator</a>: No<br>
> such file or directory<br>
> /usr/bin/xauth:  error in locking authority file /home/<br>
> <a href="http://adexample.com/administrator/.Xauthority" target="_blank">adexample.com/administrator/.Xauthority</a><br>
> -sh-4.1$<br>
><br>
</div>> *But still not able to login with other AD accounts:*<br>
<div class="">><br>
> [root@ipaserver1 sbin]# su <a href="mailto:Genadi@ADEXAMPLE.COM">Genadi@ADEXAMPLE.COM</a><br>
> su: user <a href="mailto:Genadi@ADEXAMPLE.COM">Genadi@ADEXAMPLE.COM</a> does not exist<br>
><br>
> After reading the other threads, ill try and provide as much information as<br>
> i can:<br>
><br>
</div>> *wbinfo -u does not return values.*<br>
<div class="">> [root@ipaserver1 sbin]# wbinfo -u<br>
> [root@ipaserver1 sbin]#<br>
><br>
</div>> *wbinfo -u output:*<br>
<div class="">> [root@ipaserver1 sbin]# wbinfo -g<br>
> admins<br>
> editors<br>
> default smb group<br>
> ad_users<br>
><br>
</div>> *wbinfo --online-status shows ADEXAMPLE is offline*<br>
<div class="">> [root@ipaserver1 ~]# wbinfo --online-status<br>
> BUILTIN : online<br>
> LINUX : online<br>
> ADEXAMPLE : offline<br>
><br>
</div>> *getent for Administrator does return value.*<br>
<div class="">> [root@ipaserver1 sbin]# getent passwd <a href="mailto:Administrator@ADEXAMPLE.COM">Administrator@ADEXAMPLE.COM</a><br>
> administrator@adexample.com:*:699000500:699000500::/home/<br>
> <a href="http://adexample.com/administrator" target="_blank">adexample.com/administrator</a>:<br>
><br>
</div>> *getent for other AD users does not return value.*<br>
<div class="">> [root@ipaserver1 sbin]# getent passwd <a href="mailto:Genadi@ADEXAMPLE.COM">Genadi@ADEXAMPLE.COM</a><br>
> [root@ipaserver1 sbin]#<br>
><br>
><br>
</div>> *System info/configurations:*<br>
<div><div class="h5">><br>
> [root@ipaserver1 ~]# cat /etc/redhat-release<br>
> Red Hat Enterprise Linux Server release 6.2 Beta (Santiago)<br>
><br>
> [root@ipaserver1 sbin]# rpm -qa | grep ipa<br>
> ipa-python-3.0.0-37.el6.x86_64<br>
> ipa-client-3.0.0-37.el6.x86_64<br>
> libipa_hbac-python-1.9.2-129.el6.x86_64<br>
> ipa-pki-common-theme-9.0.3-7.el6.noarch<br>
> ipa-server-trust-ad-3.0.0-37.el6.x86_64<br>
> libipa_hbac-1.9.2-129.el6.x86_64<br>
> ipa-admintools-3.0.0-37.el6.x86_64<br>
> ipa-server-selinux-3.0.0-37.el6.x86_64<br>
> ipa-pki-ca-theme-9.0.3-7.el6.noarch<br>
> ipa-server-3.0.0-37.el6.x86_64<br>
> python-iniparse-0.3.1-2.1.el6.noarch<br>
><br>
> [root@ipaserver1 ~]# rpm -qa | grep sssd<br>
> sssd-1.9.2-129.el6.x86_64<br>
> sssd-client-1.9.2-129.el6.x86_64<br>
><br>
> [root@ipaserver1 sbin]# rpm -qa | grep samb<br>
> samba4-common-4.0.0-60.el6_5.rc4.x86_64<br>
> samba4-winbind-clients-4.0.0-60.el6_5.rc4.x86_64<br>
> samba4-libs-4.0.0-60.el6_5.rc4.x86_64<br>
> samba4-python-4.0.0-60.el6_5.rc4.x86_64<br>
> samba4-4.0.0-60.el6_5.rc4.x86_64<br>
> samba4-client-4.0.0-60.el6_5.rc4.x86_64<br>
> samba4-winbind-4.0.0-60.el6_5.rc4.x86_64<br>
<br>
</div></div>Thank you very much for the detailed report. Looks like  you are hit by<br>
the 'NT_STATUS_INVALID_PARAMETER_MIX' issue (see log.wb-ADEXAMPLE). We<br>
are currently investigating this issue.<br>
<br>
I you would like to help it would be nice if you can try to downgrade<br>
the samba4 packages to the -58 release and see if this works any better<br>
for you.<br>
<br>
Currently I'll try tor reproduce this issue locally and will give you an<br>
update as soon as I find anything which might help to get around this<br>
issue.<br>
<br>
bye,<br>
Sumit<br>
<br>
><br>
> *SSSD*<br>
<div><div class="h5">><br>
> [root@ipaserver1 ~]# cat /etc/sssd/sssd.conf<br>
> [domain/<a href="http://linux.adexample.com" target="_blank">linux.adexample.com</a>]<br>
><br>
> cache_credentials = True<br>
> krb5_store_password_if_offline = True<br>
> ipa_domain = <a href="http://linux.adexample.com" target="_blank">linux.adexample.com</a><br>
> id_provider = ipa<br>
> auth_provider = ipa<br>
> access_provider = ipa<br>
> ipa_hostname = <a href="http://ipaserver1.linux.adexample.com" target="_blank">ipaserver1.linux.adexample.com</a><br>
> chpass_provider = ipa<br>
> ipa_server = <a href="http://ipaserver1.linux.adexample.com" target="_blank">ipaserver1.linux.adexample.com</a><br>
> ldap_tls_cacert = /etc/ipa/ca.crt<br>
> subdomains_provider = ipa<br>
> debug_level = 6<br>
> [sssd]<br>
> services = nss, pam, ssh, pac<br>
> config_file_version = 2<br>
><br>
> domains = <a href="http://linux.adexample.com" target="_blank">linux.adexample.com</a><br>
> debug_level = 6<br>
> [nss]<br>
> debug_level = 6<br>
> [pam]<br>
> debug_level = 6<br>
> [sudo]<br>
> debug_level = 6<br>
> [autofs]<br>
> debug_level = 6<br>
> [ssh]<br>
> debug_level = 6<br>
> [pac]<br>
> debug_level = 6<br>
><br>
</div></div>> *KRB5*<br>
<div><div class="h5">><br>
> [root@ipaserver1 ~]# cat /etc/krb5.conf<br>
> includedir /var/lib/sss/pubconf/krb5.include.d/<br>
><br>
> [logging]<br>
>  default = FILE:/var/log/krb5libs.log<br>
>  kdc = FILE:/var/log/krb5kdc.log<br>
>  admin_server = FILE:/var/log/kadmind.log<br>
><br>
> [libdefaults]<br>
>  default_realm = <a href="http://LINUX.ADEXAMPLE.COM" target="_blank">LINUX.ADEXAMPLE.COM</a><br>
>  dns_lookup_realm = false<br>
>  dns_lookup_kdc = true<br>
>  rdns = false<br>
>  ticket_lifetime = 24h<br>
>  forwardable = yes<br>
><br>
> [realms]<br>
>  <a href="http://LINUX.ADEXAMPLE.COM" target="_blank">LINUX.ADEXAMPLE.COM</a> = {<br>
>   kdc = <a href="http://ipaserver1.linux.adexample.com:88" target="_blank">ipaserver1.linux.adexample.com:88</a><br>
>   master_kdc = <a href="http://ipaserver1.linux.adexample.com:88" target="_blank">ipaserver1.linux.adexample.com:88</a><br>
>   admin_server = <a href="http://ipaserver1.linux.adexample.com:749" target="_blank">ipaserver1.linux.adexample.com:749</a><br>
>   default_domain = <a href="http://linux.adexample.com" target="_blank">linux.adexample.com</a><br>
>   pkinit_anchors = FILE:/etc/ipa/ca.crt<br>
>   auth_to_local = RULE:[1:$1@$0](^.*@<a href="http://ADEXAMPLE.COM" target="_blank">ADEXAMPLE.COM</a>$)s/@<br>
> <a href="http://ADEXAMPLE.COM/@adexample.com/" target="_blank">ADEXAMPLE.COM/@adexample.com/</a><br>
>   auth_to_local = DEFAULT<br>
> }<br>
><br>
> [domain_realm]<br>
>  .<a href="http://linux.adexample.com" target="_blank">linux.adexample.com</a> = <a href="http://LINUX.ADEXAMPLE.COM" target="_blank">LINUX.ADEXAMPLE.COM</a><br>
>  <a href="http://linux.adexample.com" target="_blank">linux.adexample.com</a> = <a href="http://LINUX.ADEXAMPLE.COM" target="_blank">LINUX.ADEXAMPLE.COM</a><br>
><br>
> [dbmodules]<br>
>   <a href="http://LINUX.ADEXAMPLE.COM" target="_blank">LINUX.ADEXAMPLE.COM</a> = {<br>
>     db_library = ipadb.so<br>
>   }<br>
><br>
> I have increased the debug level of the IPA components.<br>
</div></div>> Here are the logs (*krb5_child.log, **ldap_child.log, **log.smbd,<br>
> **log.wb-ADEXAMPLE,<br>
> **log.wb-LINUX, **log.winbindd, **log.winbindd-dc-connect,<br>
> log.winbindd-idmap*, *sssd.log*, *sssd_linux.adexample.com.log*,*sssd_nss.log,<br>
> **sssd_pac.log*, *sssd_pam.log, *<br>
><br>
><br>
><br>
> *sssd_ssh.log, /var/log/secure):<a href="https://gist.github.com/anonymous/9006532" target="_blank">https://gist.github.com/anonymous/9006532</a><br>
> <<a href="https://gist.github.com/anonymous/9006532" target="_blank">https://gist.github.com/anonymous/9006532</a>>*<br>
<div class="">> Any insights on why only Administrator is recognized by the Trust? And why<br>
> extra step on AD was needed?<br>
<br>
</div>> _______________________________________________<br>
> Freeipa-users mailing list<br>
> <a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
<br>
</blockquote></div><br></div>