<div dir="ltr">Right, that's what I've got at this point. I just wanted to make sure I wasn't missing something. Unfortunately, that architecture won't work for me (mostly for political reasons instead of technical ones). I guess I'll be digging into pass through auth to see if I can get that working.<div>

<br></div><div>thx.</div></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr">===================================<br><div style="margin-left:40px"><b style="font-family:arial,helvetica,sans-serif">Daniel Shown,</b><br style="font-family:arial,helvetica,sans-serif">

Linux Systems Administrator<br style="font-family:arial,helvetica,sans-serif"><span style="font-family:arial,helvetica,sans-serif">Advanced Technology Group</span><br style="font-family:arial,helvetica,sans-serif"><a style="font-family:arial,helvetica,sans-serif" href="http://www.slu.edu/its" target="_blank">Information Technology Services</a><br style="font-family:arial,helvetica,sans-serif">

<span style="font-family:arial,helvetica,sans-serif">at </span><a style="font-family:arial,helvetica,sans-serif" href="http://www.slu.edu/" target="_blank">Saint Louis University</a><span style="font-family:arial,helvetica,sans-serif">.</span><br style="font-family:arial,helvetica,sans-serif">

<br style="font-family:arial,helvetica,sans-serif"><a style="font-family:arial,helvetica,sans-serif">314-977-2583</a><br></div>===================================<br><br><div style="margin-left:40px">"The aim of education <br>

is the knowledge, <br>not of facts, <br>but of values."  <br>— William S. Burroughs<br><br>"I’m supposed to be </div><div style="margin-left:40px">a scientific person </div><div style="margin-left:40px">but  I use intuition </div>

<div style="margin-left:40px">more than logic </div><div style="margin-left:40px">in making basic </div><div style="margin-left:40px">decisions."</div><div style="margin-left:40px">— Seymour R. Cray</div><div style="margin-left:40px">

<br></div><img style="background-color:rgb(51,51,153)" src="https://sites.google.com/a/slu.edu/slu-its-101/_/rsrc/1303829218862/config/customLogo.gif?revision=2" height="21" width="420"><br></div></div>
<br><br><div class="gmail_quote">On Mon, Aug 11, 2014 at 3:08 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="">On Mon, 11 Aug 2014, Daniel Shown wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I'm fairly new to FreeIPA, so can someone give me a sanity check? Should I<br>
be able to map AD users in an AD trust to to corresponding FreeIPA users?<br>
i.e. Users can auth with their AD credentials and get a FreeIPA uidnumber,<br>
gidnumber, home, etc.?<br>
</blockquote></div>
Users from a trusted forest are treated as separate users. They have<br>
their own identities and get IDs from either Active Directory (if POSIX<br>
compatibility is enabled at AD) or from special ID range allocated for<br>
them in IPA.<br>
<br>
You can include these users (and groups, it doesn't matter what is what)<br>
into special type of groups in IPA, called "external" groups. These<br>
groups, in turn, can be members of existing POSIX groups from IPA. If<br>
done so, your AD users will become members of appropriate POSIX groups<br>
from IPA by means of nested membership.<br>
<br>
These POSIX groups then can be used to apply SUDO or HBAC rules against<br>
AD users.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>