<div dir="ltr">Many thanks, Bob, for letting me know that I missed the important point as designed, and for giving me the confidence that my setup is correct after scratching my head for two weeks:-D. <div><br></div><div>So, is there any solution for my case, i.e., *using an already setup freeipa as the primary service, and AD as the secondary (only for those dependent on AD)*,  in addition to Petr's suggestion to setup freeipa-AD trust? I prefer to maintain user info in freeipa and let AD sync from freeipa. But unfortunately, this is not designed to be so. Did anyone try the idea of export users from freeipa and then import into AD, since they both use LDAP? At least for the initial pseudo/manual sync. It would be great to share your experience with us.</div>

<div><br></div><div>Thanks!</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Apr 17, 2014 at 10:16 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Will Last wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">
Hi,<br>
<br>
I have got a freeipa server (pa-server-3.0.0-37) running on centos 6.5<br>
and am trying to set up sync with/to AD on win 2008/R2, basically<br>
following<br>
<a href="https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/active-directory.html" target="_blank">https://access.redhat.com/<u></u>site/documentation/en-US/Red_<u></u>Hat_Enterprise_Linux/6/html/<u></u>Identity_Management_Guide/<u></u>active-directory.html</a>.<br>


The sync agreement is bi-directional by default. But only AD users are<br>
sync'ed to freeipa and none of the users on freeipa is sync'ed to ad,<br>
which is what I really cared for. Even a re-initialization from AD won't<br>
help (ipa-replica-manage re-initialize --from <a href="http://ad.example.com" target="_blank">ad.example.com</a><br></div>
<<a href="http://ad.example.com" target="_blank">http://ad.example.com</a>> ). I have turned debugging on<div class=""><br>
(nsslapd-errorlog-level to 8192), but did not see any obvious clue.<br>
<br>
Thanks in advance for any help!<br>
</div></blockquote>
<br>
This is working as designed. IPA-only users are not synced to AD. The bidirectional part is that changes to an AD user synced to IPA on the IPA side will be synced back to AD.<span class="HOEnZb"><font color="#888888"><br>


<br>
rob<br>
</font></span></blockquote></div><br></div>