<div dir="rtl"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""><div style="direction:ltr">We need to get host/ipa.master and HTTP/ipa.master principals to get<br></div></span></blockquote><div style="direction:ltr">authenticated read only access to AD DC and LDAP servers. The problem</div><div style="direction:ltr">with granting this access in 'Selective authentication' case will</div><div style="direction:ltr">prevent the trust from working.</div>
<div style="direction:ltr"><br></div></blockquote><div> </div><div dir="ltr">Only the IPA servers are accessing AD DC? Or all the hosts (Clients) are also preforming query's on GC's LDAP, as </div><div dir="ltr">you described in this older mail exchange :</div><div dir="ltr"><br></div><div dir="ltr"><a href="https://www.redhat.com/archives/freeipa-users/2014-January/msg00181.html">https://www.redhat.com/archives/freeipa-users/2014-January/msg00181.html</a><br></div><div dir="ltr"><br></div><div dir="ltr"><pre style="color:rgb(0,0,0);margin:0em"><i>"IPA needs to be able to look up users and groups in AD. To do so, it
uses Kerberos authentication against AD's Global Catalog services with
own credentials (<b>per each IPA host</b>). We are using cross-realm
Kerberos trust here, AD DC trusts cross-realm TGT issued by IPA KDC and
vice versa, so IPA hosts can bind as their own identity (host/...) to
AD."</i></pre><pre style="color:rgb(0,0,0);margin:0em" dir="rtl"><br></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal">If the first case is true, then </span></font><span style="white-space:normal;font-family:arial">read only</span><font face="arial"><span style="white-space:normal"> </span></font><span style="color:rgb(0,0,0);font-family:Arial,'Lucida Grande',Raanana,sans-serif;white-space:normal">permission </span><font face="arial"><span style="white-space:normal">can be granted to IPA server's <b>only </b>(?), .</span></font></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal">If the second is true, there is no escape but to convince (</span></font><span style="white-space:normal;font-family:arial">somehow</span><span style="white-space:normal;font-family:arial">)</span><span style="white-space:normal;font-family:arial"> the AD IT guys.</span><span style="white-space:normal;font-family:arial">  </span></pre></div></div><br></div></div>