<div dir="ltr">Alex,<div>thank you. Now it works, but not completely:</div><div><br></div><div>1.</div><div><br></div><div><div>[leszek@ipa1 ~]$ ssh <a href="http://ipatst03.linux.acme.example.com">ipatst03.linux.acme.example.com</a> -l <a href="mailto:user1@acme.example.com">user1@acme.example.com</a></div><div>Password: </div><div>Last login: Wed Oct 15 16:11:27 2014</div><div><br></div><div>-sh-4.1$ id</div><div>uid=127283727(<a href="mailto:user1@acme.example.com">user1@acme.example.com</a>) gid=127283727(<a href="mailto:user1@acme.example.com">user1@acme.example.com</a>) grupy=127283727(<a href="mailto:user1@acme.example.com">user1@acme.example.com</a>),127292838(<a href="mailto:linuxgroup@acme.example.com">linuxgroup@acme.example.com</a>) </div><div><br></div><div>I can't see all my groups. User1 is a member of 15 different groups at AD side, not one as above: <a href="mailto:linuxgroup@acme.example.com">linuxgroup@acme.example.com</a></div><div><br></div><div>Could it be related?  I can see all these membership groups at IPA Server (id <a href="mailto:user1@acme.example.com">user1@acme.example.com</a>)</div><div><br></div><div>2. After login ssh <a href="http://ipatst03.linux.acme.example.com">ipatst03.linux.acme.example.com</a> -l <a href="mailto:user1@acme.example.com">user1@acme.example.com</a></div><div><br></div><div>-sh-4.1$ klist <br></div><div>klist: Included profile file could not be read while initializing krb5</div><div><br></div><div>Even kinit not works:</div><div><br></div><div><div>-sh-4.1$ kinit <a href="mailto:user1@acme.example.com">user1@acme.example.com</a></div><div>kinit: Included profile file could not be read while initializing Kerberos 5 library</div></div><div><br></div><div>What about that? I didn't see this error before. Related?<br></div><div><br></div><div>I have another, but related question, If you don't mind:  What if I would like to connect RHEL5 IPA client to my IPA Server AD Trust Setup? Do you think it is real and could it work? </div></div><div><br></div><div>Thank you in advanced</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2014-10-15 15:50 GMT+02:00 Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Wed, 15 Oct 2014, crony wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi,<br>
I've been following the AD integration guide for IPAv3:<br>
<a href="http://www.freeipa.org/page/Howto/IPAv3_AD_trust_setup" target="_blank">http://www.freeipa.org/page/<u></u>Howto/IPAv3_AD_trust_setup</a><br>
<br>
My setup is:<br>
• 5 domain controllers with Windows 2008 R2 AD DC -> <a href="http://example.com" target="_blank">example.com</a> as Forest<br>
Root Domain and <a href="http://acme.example.com" target="_blank">acme.example.com</a> as transitive child domain<br>
• RHEL7 as IPA server with domain: <a href="http://linux.acme.example.com" target="_blank">linux.acme.example.com</a><br>
• RHEL6.5 as IPA client server <a href="http://ipatst03.linux.acme.example.com" target="_blank">ipatst03.linux.acme.example.<u></u>com</a><br>
<br>
Everything works correctly around IPA Server, but the problem is within IPA<br>
Client.<br>
<br>
I can not login by SSH or by su -:<br>
<br>
[leszek@ipatst03 ~]$ su - <a href="mailto:user1@acme.example.com" target="_blank">user1@acme.example.com</a><br>
Password:<br>
su: incorrect password<br>
<br>
I found this error in /var/log/sssd/krb5_child.log :<br>
<br>
(Wed Oct 15 13:49:59 2014) [[sssd[krb5_child[1880]]]] [validate_tgt]<br>
(0x0020): TGT failed verification using key for [host/<br>
<a href="mailto:ipatst03.linux.acme.example.com@LINUX.ACME.EXAMPLE.COM" target="_blank">ipatst03.linux.acme.example.<u></u>com@LINUX.ACME.EXAMPLE.COM</a>].<br>
(Wed Oct 15 13:49:59 2014) [[sssd[krb5_child[1880]]]] [get_and_save_tgt]<br>
(0x0020): 988: [-1765328341][Illegal cross-realm ticket]<br>
(Wed Oct 15 13:49:59 2014) [[sssd[krb5_child[1880]]]] [map_krb5_error]<br>
(0x0020): 1043: [-1765328341][Illegal cross-realm ticket]<br>
(Wed Oct 15 13:49:59 2014) [[sssd[krb5_child[1880]]]] [k5c_send_data]<br>
(0x0200): Received error code 1432158209<br>
(Wed Oct 15 13:49:59 2014) [[sssd[krb5_child[1880]]]]<br>
[pack_response_packet] (0x2000): response packet size: [20]<br>
(Wed Oct 15 13:49:59 2014) [[sssd[krb5_child[1880]]]] [k5c_send_data]<br>
(0x4000): Response sent.<br>
(Wed Oct 15 13:49:59 2014) [[sssd[krb5_child[1880]]]] [main] (0x0400):<br>
krb5_child completed successfully<br>
</blockquote></div></div>
Yes, this is known issue for transitive trusts. MIT Kerberos requires<br>
for non-hierarchical trusts that [capaths] section contains proper map<br>
of relationships between the realms. We've got an API to manage this map<br>
from IPA KDC driver and we also write it down on the IPA masters with<br>
the help of SSSD for KDC to use but on IPA clients it is not generated<br>
as we hoped that receiving referrals from KDC would be enough.<br>
<br>
You can see that this is the issue by copying<br>
/var/lib/sss/pubconf/krb5conf.<u></u>d/domain_realm_linux_acme_<u></u>example_com to<br>
your client and placing it as<br>
/var/lib/sss/pubconf/krb5conf.<u></u>d/domain_realm_linux_acme_<u></u>example_com_capaths<br>
<br>
On next authentication attempt things will work.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br>Pozdrawiam Leszek Miś<br>www: <a href="http://cronylab.pl" target="_blank">http://cronylab.pl</a><br>www: <a href="http://emerge.pl" target="_blank">http://emerge.pl</a><br>Nothing is secure, paranoia is your friend.
</div>