<div dir="ltr"><div>Hi,</div><div>I've been following the AD integration guide for IPAv3: <a href="http://www.freeipa.org/page/Howto/IPAv3_AD_trust_setup">http://www.freeipa.org/page/Howto/IPAv3_AD_trust_setup</a></div><div><br></div><div>My setup is:</div><div>• 5 domain controllers with Windows 2008 R2 AD DC -> <a href="http://example.com">example.com</a> as Forest Root Domain and <a href="http://acme.example.com">acme.example.com</a> as transitive child domain </div><div>• RHEL7 as IPA server with domain: <a href="http://linux.acme.example.com">linux.acme.example.com</a> </div><div>• RHEL6.5 as IPA client server <a href="http://ipatst03.linux.acme.example.com">ipatst03.linux.acme.example.com</a></div><div><br></div><div>Everything works correctly around IPA Server, but the problem is within IPA Client. </div><div><br></div><div>I can not login by SSH or by su -:</div><div><br></div><div>[leszek@ipatst03 ~]$ su - <a href="mailto:user1@acme.example.com">user1@acme.example.com</a></div><div>Password: </div><div>su: incorrect password</div><div><br></div><div>I found this error in /var/log/sssd/krb5_child.log :</div><div><br></div><div>(Wed Oct 15 13:49:59 2014) [[sssd[krb5_child[1880]]]] [validate_tgt] (0x0020): TGT failed verification using key for [host/<a href="mailto:ipatst03.linux.acme.example.com@LINUX.ACME.EXAMPLE.COM">ipatst03.linux.acme.example.com@LINUX.ACME.EXAMPLE.COM</a>].</div><div>(Wed Oct 15 13:49:59 2014) [[sssd[krb5_child[1880]]]] [get_and_save_tgt] (0x0020): 988: [-1765328341][Illegal cross-realm ticket]</div><div>(Wed Oct 15 13:49:59 2014) [[sssd[krb5_child[1880]]]] [map_krb5_error] (0x0020): 1043: [-1765328341][Illegal cross-realm ticket]</div><div>(Wed Oct 15 13:49:59 2014) [[sssd[krb5_child[1880]]]] [k5c_send_data] (0x0200): Received error code 1432158209</div><div>(Wed Oct 15 13:49:59 2014) [[sssd[krb5_child[1880]]]] [pack_response_packet] (0x2000): response packet size: [20]</div><div>(Wed Oct 15 13:49:59 2014) [[sssd[krb5_child[1880]]]] [k5c_send_data] (0x4000): Response sent.</div><div>(Wed Oct 15 13:49:59 2014) [[sssd[krb5_child[1880]]]] [main] (0x0400): krb5_child completed successfully</div><div><br></div><div><br></div><div>From that IPA client I can run:</div><div><br></div><div>[root@ipatst03 ~]$ getent passwd <a href="mailto:user1@acme.example.com">user1@acme.example.com</a></div><div>user1@acme.example.com:*:127283727:127283727:user1:/home/<a href="http://acme.example.com/user1">acme.example.com/user1</a>:</div><div><br></div><div>Do you know what is wrong with my setup?</div><div><br></div><div>After adding krb5_validate = false to sssd.conf on IPA client ipatst03 I can login by su/ssh but without kerberos principals and without groups assigned:</div><div><br></div><div>[leszek@ipatst03 ~]$ su - <a href="mailto:user1@acme.example.com">user1@acme.example.com</a></div><div>Password: </div><div>-sh-4.1$ id</div><div>uid=127283727(<a href="mailto:user1@acme.example.com">user1@acme.example.com</a>) gid=127283727(<a href="mailto:user1@acme.example.com">user1@acme.example.com</a>) groups=127283727(<a href="mailto:user1@acme.example.com">user1@acme.example.com</a>) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023</div><div>-sh-4.1$ klist </div><div>klist: No credentials cache found while retrieving principal name</div><div><br></div><div><br></div><div><br></div><div>Below you can find setup information from IPA Server where everything looks good:</div><div><br></div><div>[root@ipa1 ~]# kinit admin</div><div>Password for <a href="mailto:admin@LINUX.ACME.EXAMPLE.COM">admin@LINUX.ACME.EXAMPLE.COM</a>: </div><div><br></div><div>[root@ipa1 ~]# klist </div><div>Ticket cache: KEYRING:persistent:0:0</div><div>Default principal: <a href="mailto:admin@LINUX.ACME.EXAMPLE.COM">admin@LINUX.ACME.EXAMPLE.COM</a></div><div><br></div><div>Valid starting       Expires              Service principal</div><div>10/15/2014 14:02:29  10/16/2014 14:02:25  krbtgt/<a href="mailto:LINUX.ACME.EXAMPLE.COM@LINUX.ACME.EXAMPLE.COM">LINUX.ACME.EXAMPLE.COM@LINUX.ACME.EXAMPLE.COM</a></div><div><br></div><div>[root@ipa1 ~]# getent passwd <a href="mailto:user1@acme.example.com">user1@acme.example.com</a></div><div>user1@acme.example.com:*:127283727:127283727:user1:/home/<a href="http://acme.example.com/user1">acme.example.com/user1</a>:</div><div><br></div><div>[root@ipa1 ~]# su - <a href="mailto:user1@acme.example.com">user1@acme.example.com</a></div><div>Last login: Wed Oct 15 13:05:11 CEST 2014 from 10.9.79.93 on pts/4</div><div>-sh-4.2$ id</div><div>uid=127283727(<a href="mailto:user1@acme.example.com">user1@acme.example.com</a>) gid=127283727(<a href="mailto:user1@acme.example.com">user1@acme.example.com</a>) groups=127283727(<a href="mailto:user1@acme.example.com">user1@acme.example.com</a>),127200513(domain <a href="mailto:users@acme.example.com">users@acme.example.com</a>)</div><div><br></div><div>-sh-4.2$ klist </div><div>Ticket cache: KEYRING:persistent:127283727:krb_ccache_Aablt0q</div><div>Default principal: <a href="mailto:USER1@ACME.EXAMPLE.COM">USER1@ACME.EXAMPLE.COM</a></div><div><br></div><div>Valid starting       Expires              Service principal</div><div>10/15/2014 13:05:22  10/15/2014 21:26:29  host/<a href="mailto:ipatst03.linux.acme.example.com@LINUX.ACME.EXAMPLE.COM">ipatst03.linux.acme.example.com@LINUX.ACME.EXAMPLE.COM</a></div><div><span class="" style="white-space:pre">    </span>renew until 10/16/2014 11:26:29</div><div>10/15/2014 13:05:20  10/15/2014 21:26:29  krbtgt/<a href="mailto:LINUX.ACME.EXAMPLE.COM@EXAMPLE.COM">LINUX.ACME.EXAMPLE.COM@EXAMPLE.COM</a></div><div><span class="" style="white-space:pre">  </span>renew until 10/16/2014 11:26:29</div><div>10/15/2014 13:05:20  10/15/2014 21:26:29  krbtgt/<a href="mailto:EXAMPLE.COM@ACME.EXAMPLE.COM">EXAMPLE.COM@ACME.EXAMPLE.COM</a></div><div><span class="" style="white-space:pre">      </span>renew until 10/16/2014 11:26:29</div><div>10/15/2014 11:26:29  10/15/2014 21:26:29  krbtgt/<a href="mailto:ACME.EXAMPLE.COM@ACME.EXAMPLE.COM">ACME.EXAMPLE.COM@ACME.EXAMPLE.COM</a></div><div><span class="" style="white-space:pre">    </span>renew until 10/16/2014 11:26:29</div><div><br></div><div><div>[leszek@ipa1 ~]$ su - <a href="mailto:user1@acme.example.com">user1@acme.example.com</a></div><div>Hasło: </div><div></div><div>-sh-4.2$ klist </div><div>Ticket cache: KEYRING:persistent:127283727:krb_ccache_Aablt0q</div><div>Default principal: <a href="mailto:USER1@ACME.EXAMPLE.COM">USER1@ACME.EXAMPLE.COM</a></div><div><br></div><div>Valid starting       Expires              Service principal</div><div>10/15/2014 14:43:00  10/16/2014 00:43:00  krbtgt/<a href="mailto:ACME.EXAMPLE.COM@ACME.EXAMPLE.COM">ACME.EXAMPLE.COM@ACME.EXAMPLE.COM</a></div><div><span class="" style="white-space:pre">  </span>renew until 10/16/2014 14:43:00</div></div><div><br></div><div><br></div><div><br></div><div>Everything looks good.</div><div><br></div><div>[root@ipa1 ipa trustdomain-find "<a href="http://example.com">example.com</a>"</div><div>  Domain name: <a href="http://example.com">example.com</a></div><div>  Domain NetBIOS name: EXAMPLE</div><div>  Domain Security Identifier: S-1-5-21-827937240-19931235763-83952325</div><div>  Domain enabled: True</div><div><br></div><div>  Domain name: <a href="http://acme.example.com">acme.example.com</a></div><div>  Domain NetBIOS name: ACME</div><div>  Domain Security Identifier: S-1-5-21-107454117-223899964-1235820382</div><div>  Domain enabled: True</div><div>----------------------------</div><div>Number of entries returned 2</div><div>----------------------------</div><div><br></div><div>Any suggestions for help?</div><div><br></div><div>Thanks.</div><div><br></div>--<div><a href="http://cronylab.pl">http://cronylab.pl</a></div><div><a href="http://emerge.pl">http://emerge.pl</a></div><div><br></div></div>