<div dir="ltr"><div> </div><div> </div><div><br> </div><div class="gmail_quote">On Sat, Sep 13, 2014 at 7:03 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid"><span>On Sat, 13 Sep 2014, Traiano Welcome wrote:<br>
</span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">
Hi<br>
<br><span>
I've managed to get trusts working with CentOS 7 as an IdM server, Win2K8R2<br>
AD DC and CentOS6.5 as a client, using the exact same series of steps as in<br>
the documentation. Attached is the process I used.<br>
</span></blockquote>
You got one step wrong:<br>
==============================<u></u>==============================<u></u>================<br>
8. Modify /etc/krb5.conf<br>
<br>
[realms]<br>
ENGENEON.LOCAL = {<br>
 kdc = idm003.engeneon.local:88<br>
 master_kdc = idm003.engeneon.local:88<br>
 admin_server = idm003.engeneon.local:749<br>
 default_domain = engeneon.local<br>
 pkinit_anchors = FILE:/etc/ipa/ca.crt<br>
 auth_to_local = RULE:[1:$1@$0](^.*@AD_DOMAIN$)<u></u>s/@AD_DOMAIN/@ad_domain/<br>
 auth_to_local = DEFAULT<br>
}<br>
==============================<u></u>==============================<u></u>================<br>
<br>
Here you have to substitute AD_DOMAIN and ad_domain by your actual<br>
AD domain name. This change has to be done currently on every IPA<br>
machine where you are expecting AD users to log in.<br>
<br></blockquote><div> </div><div> </div><div> </div><div>Doh! ok, fixed. Although, I didn't notice any login failures testing with a bunch of users. Is it possible this behavior is already being adapted around in either one of PAM, OpenSSH or KRB5?</div><div> </div><div> </div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">
For each domain in the trusted AD forest, AD_DOMAIN should be its realm<br>
and ad_domain should be the same in low-case as SSSD normalizes user<br>
names to lower case. The rule tells Kerberos library how to transform a<br>
Kerberos principal (thus REALM has to be upper case as it is required in<br>
MIT Kerberos) to a POSIX user name (thus put domain name in lower case<br>
as SSSD will normalize the user name). OpenSSH and some other software<br>
actually checks that POSIX user name corresponds to the value Kerberos<br>
library will return to OpenSSH daemon after running through<br>
auth_to_local rules.<br>
<br>
I.e., in your case it would be<br>
<br>
  auth_to_local = RULE:[1:$1@$0](^.*@MHATEST.<u></u>LOCAL$)s/@MHATEST.LOCAL/@<u></u>mhatest.local/<br>
<br>
and if you have multiple subdomains, there should be multiple rules like<br>
this, each for the domain which users you want to be able to log in.<br>
We are improving this in MIT Kerberos 1.12 and SSSD 1.12.1 where all<br>
these rules will be replaced with a plugin that fetches list of domains<br>
from IPA servers and automatically manage it. However, it is currently<br>
not available in any released distribution.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>