<div dir="rtl"><div dir="ltr">Hello all !</div><div dir="ltr"><br></div><div dir="ltr">I am working on integrating IPA in a Microsoft dominated organization. After playing around with Cross forest trust and Directory server <span style="color:rgb(0,0,0);font-family:Arial,'Lucida Grande',Raanana,sans-serif">synchronization i came to the </span><span style="color:rgb(0,0,0);font-family:Arial,'Lucida Grande',Raanana,sans-serif">conclusion that Trust is the right way to go. </span><font color="#000000" face="Arial, Lucida Grande, Raanana, sans-serif">Because it involves less configuration on AD side and its the direction the development community is focusing on.</font></div><div dir="ltr"><font color="#000000" face="Arial, Lucida Grande, Raanana, sans-serif"><br></font></div><div dir="ltr"><font color="#000000" face="Arial, Lucida Grande, Raanana, sans-serif">As i started discussing with AD administrators team, they </font><span style="color:rgb(0,0,0);font-family:Arial,'Lucida Grande',Raanana,sans-serif">expressed their concerns on the two-way trust needed. </span></div><div dir="ltr"><span style="color:rgb(0,0,0);font-family:Arial,'Lucida Grande',Raanana,sans-serif"><br></span></div><div dir="ltr"><font color="#000000" face="Arial, Lucida Grande, Raanana, sans-serif">I have found the following thread in the freeipa archives:</font></div><div dir="ltr"><font color="#000000" face="Arial, Lucida Grande, Raanana, sans-serif"><a href="https://www.redhat.com/archives/freeipa-users/2012-June/msg00206.html">https://www.redhat.com/archives/freeipa-users/2012-June/msg00206.html</a></font></div><div dir="ltr"><font color="#000000" face="Arial, Lucida Grande, Raanana, sans-serif">where </font><span style="color:rgb(0,0,0)">Simo Sorce </span><span style="color:rgb(0,0,0)">explained why the two way trust is necessary. </span><span style="color:rgb(0,0,0)"> </span><br></div><div dir="ltr"><span style="color:rgb(0,0,0)"><br></span></div><div dir="ltr"><font color="#000000">But then this thread appeared:</font></div><div dir="ltr"><font color="#000000"><a href="https://www.redhat.com/archives/freeipa-users/2014-September/msg00276.html">https://www.redhat.com/archives/freeipa-users/2014-September/msg00276.html</a><br></font></div><div dir="ltr"><font color="#000000"><br></font></div><div dir="ltr"><font color="#000000">The discussion in the thread helped me <b>a lot</b> (</font><span style="color:rgb(0,0,0)">especially the summary </span><font color="#000000"><a href="https://www.redhat.com/archives/freeipa-users/2014-September/msg00303.html">https://www.redhat.com/archives/freeipa-users/2014-September/msg00303.html</a>) to </font><font color="#000000">explain the AD team why two-way trust is necessary and <b>not </b>a security risk.</font></div><div dir="ltr"><span style="color:rgb(0,0,0)"><br></span></div><div dir="ltr"><font color="#000000">After convincing </font><font color="#000000" face="Arial, Lucida Grande, Raanana, sans-serif">them that two-way trust in necessary, they still have put up a demand that the out-going AD->IPA trust authentication</font><span style="color:rgb(0,0,0);font-family:Arial,'Lucida Grande',Raanana,sans-serif"> will be configured as <b>Selective </b></span><font color="#000000" face="Arial, Lucida Grande, Raanana, sans-serif"><b>authentication.</b></font></div><div dir="ltr"><font color="#000000" face="Arial, Lucida Grande, Raanana, sans-serif"><b><br></b></font></div><div dir="ltr"><span style="color:rgb(0,0,0);font-family:Arial,'Lucida Grande',Raanana,sans-serif">Selective </span><font color="#000000" face="Arial, Lucida Grande, Raanana, sans-serif">authentication is described as follows:</font></div><div dir="ltr"><i>"Windows will not automatically authenticate users form the
specified forest for any resources in the local forest. After you close this
dialog. grant individual access to each domain and server that you want to make
available to users in the specified forest.<font color="#000000" face="Arial, Lucida Grande, Raanana, sans-serif">"</font></i><font color="#000000" face="Arial, Lucida Grande, Raanana, sans-serif"><b><br></b></font></div><div dir="ltr"><i><font color="#000000" face="Arial, Lucida Grande, Raanana, sans-serif"><br></font></i></div><div dir="ltr"><font color="#000000" face="Arial, Lucida Grande, Raanana, sans-serif">While the default is </font><span style="font-family:Calibri,sans-serif;font-size:11pt;line-height:115%">Forest- wide
authentication:</span></div><div dir="ltr"><p class="MsoNormal"><i>"Windows will automatically athenticate users from the
specified forest for the recourses in the local forest."</i></p><p class="MsoNormal"><i><br></i></p><p class="MsoNormal">Can this be done? Or it will break how IPA operates the trust?</p><p class="MsoNormal"><br></p><p class="MsoNormal">Thanks.</p></div><div dir="ltr"><br></div></div>