<div dir="ltr">HI Alex<div><br></div><div>Oops sorry.</div><div><br></div><div>actually i have 2 servers which hostname looks like same kwtpocpbis01 and kwtpocpbis02</div><div><br></div><div>i was trying on wrong server.</div><div><br></div><div>now it's working on actual server:</div><div><br></div><div><div><i><font color="#9900ff">[root@kwtpocpbis01 ~]# ipa group-add-member ad_admins_external --external 'INFRA\Domain Admins'</font></i></div><div><i><font color="#9900ff">[member user]:</font></i></div><div><i><font color="#9900ff">[member group]:</font></i></div><div><i><font color="#9900ff">  Group name: ad_admins_external</font></i></div><div><i><font color="#9900ff">  Description: <a href="http://infra.com">infra.com</a> admins external map</font></i></div><div><i><font color="#9900ff">  External member: S-1-5-21-191287045-4012216658-3592112898-512</font></i></div><div><i><font color="#9900ff">-------------------------</font></i></div><div><i><font color="#9900ff">Number of members added 1</font></i></div><div><i><font color="#9900ff"><br></font></i></div><div><i><font color="#9900ff">-------------------------</font></i></div><div><i><font color="#9900ff">[root@kwtpocpbis01 ~]# ipa group-add-member ad_admins_external --external 'INFRA\Domain Users'</font></i></div><div><i><font color="#9900ff">[member user]:</font></i></div><div><i><font color="#9900ff">[member group]:</font></i></div><div><i><font color="#9900ff">  Group name: ad_admins_external</font></i></div><div><i><font color="#9900ff">  Description: <a href="http://infra.com">infra.com</a> admins external map</font></i></div><div><i><font color="#9900ff">  External member: S-1-5-21-191287045-4012216658-3592112898-512, S-1-5-21-191287045-4012216658-3592112898-513</font></i></div><div><i><font color="#9900ff">-------------------------</font></i></div><div><i><font color="#9900ff">Number of members added 1</font></i></div></div><div><br></div><div><br></div><div>how can i fetch AD user on command line on IPA server to check the communication?</div><div><br></div><div>Regards</div><div>Ben</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 5, 2015 at 10:05 AM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Thu, 05 Mar 2015, Ben .T.George wrote:<br>
</span><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi Alexander,<br>
<br>
can you please give me clue what will be error message<br>
<br>
"member group: KWTTESTDC\Domain Admins: invalid 'trusted domain object': no<br>
trusted domain matched the specified flat name"<br>
</blockquote></span>
So what are the domains your IPA reports as trusted?<br>
<br>
ipa trustdomain-find<br>
<br>
Because you are talking about KWTTESTDC -- is this a domain's NetBIOS<br>
name? It looks to me it is your AD DC's name, not the domain's.<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
<br>
Regards,<br>
Ben<br>
<br>
On Thu, Mar 5, 2015 at 9:35 AM, Ben .T.George <<a href="mailto:bentech4you@gmail.com" target="_blank">bentech4you@gmail.com</a>> wrote:<br>
<br>
</span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
HI<br>
<br>
sorry ntp was stopped. now time is in sync. rebooted machine<br>
<br>
buy process is not going through<br>
<br></span>
*[root@kwtpocpbis01 ~]# ipa group-add-member ad_admins_external --external<br>
'ad_netbios\Domain Admins'*<span class=""><br>
*[member user]:*<br>
*[member group]:*<br></span>
*  Group name: ad_admins_external*<br>
*  Description: <a href="http://infra.com" target="_blank">infra.com</a> <<a href="http://infra.com" target="_blank">http://infra.com</a>> admins external map*<span class=""><br>
*  Failed members:*<br>
*    member user:*<br></span>
*    member group: ad_netbios\Domain Admins: invalid 'trusted domain<br>
object': no trusted domain matched the specified flat name*<span class=""><br>
*-------------------------*<br>
*Number of members added 0*<br>
<br>
*-------------------------*<br></span>
*[root@kwtpocpbis01 ~]# ipa group-add-member ad_admins_external --external<br>
'ad_netbios\Domain Users'*<span class=""><br>
*[member user]:*<br>
*[member group]:*<br></span>
*  Group name: ad_admins_external*<br>
*  Description: <a href="http://infra.com" target="_blank">infra.com</a> <<a href="http://infra.com" target="_blank">http://infra.com</a>> admins external map*<span class=""><br>
*  Failed members:*<br>
*    member user:*<br></span>
*    member group: ad_netbios\Domain Users: invalid 'trusted domain<br>
object': no trusted domain matched the specified flat name*<div><div class="h5"><br>
*-------------------------*<br>
*Number of members added 0*<br>
*-------------------------*<br>
<br>
And the error message on error_log is :<br>
<br>
[Thu Mar 05 09:31:50.<a href="tel:146154%202015" value="+911461542015" target="_blank">146154 2015</a>] [:error] [pid 2101] ipa: INFO:<br>
[jsonserver_kerb] admin@SOLARIS.LOCAL:<br>
group_add_member(u'ad_admins_<u></u>external',<br>
ipaexternalmember=(u'ad_<u></u>netbios\\\\Domain Admins',), all=False, raw=False,<br>
version=u'2.113', no_members=False): SUCCESS<br>
<br>
[Thu Mar 05 09:32:15.<a href="tel:761885%202015" value="+917618852015" target="_blank">761885 2015</a>] [:error] [pid 2101] ipa: INFO:<br>
[jsonserver_kerb] admin@SOLARIS.LOCAL:<br>
group_add_member(u'ad_admins_<u></u>external',<br>
ipaexternalmember=(u'ad_<u></u>netbios\\\\Domain Users',), all=False, raw=False,<br>
version=u'2.113', no_members=False): SUCCESS<br>
<br>
<br>
<br>
On Thu, Mar 5, 2015 at 8:52 AM, Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>><br>
wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Thu, 05 Mar 2015, Ben .T.George wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi<br>
<br>
i have re-installed everything . my current versions are Centos 7 with<br>
IPA<br>
4.1<br>
<br>
i followed this tutorial:<br>
<a href="http://www.freeipa.org/page/Howto/IPAv3_AD_trust_setup" target="_blank">http://www.freeipa.org/page/<u></u>Howto/IPAv3_AD_trust_setup</a><br>
<br>
when i fetch , it went successful:<br>
<br>
*[root@kwtpocpbis01 ~]# ipa trustdomain-find "<a href="http://infra.com" target="_blank">infra.com</a> <<br>
<a href="http://infra.com" target="_blank">http://infra.com</a>>"*<br>
*  Domain name: <a href="http://infra.com" target="_blank">infra.com</a> <<a href="http://infra.com" target="_blank">http://infra.com</a>>*<br>
*  Domain NetBIOS name: INFRA*<br>
*  Domain Security Identifier: S-1-5-21-191287045-4012216658-<u></u>3592112898*<br>
*  Domain enabled: True*<br>
*----------------------------*<br>
*Number of entries returned 1*<br>
*----------------------------*<br>
*[root@kwtpocpbis01 ~]# ipa trustdomain-find "<a href="http://infra.com" target="_blank">infra.com</a> <<br>
<a href="http://infra.com" target="_blank">http://infra.com</a>>"*<br>
*  Domain name: <a href="http://infra.com" target="_blank">infra.com</a> <<a href="http://infra.com" target="_blank">http://infra.com</a>>*<br>
*  Domain NetBIOS name: INFRA*<br>
*  Domain Security Identifier: S-1-5-21-191287045-4012216658-<u></u>3592112898*<br>
*  Domain enabled: True*<br>
*----------------------------*<br>
*Number of entries returned 1*<br>
*----------------------------*<br>
<br>
when i gone through "Allow access for users from AD domain to protected<br>
resources", i am getting errors,<br>
<br>
<br>
*[root@kwtpocpbis01 ~]# ipa group-add --desc='<a href="http://infra.com" target="_blank">infra.com</a> <<br>
<a href="http://infra.com" target="_blank">http://infra.com</a>><br>
users external map' ad_users_external --external*<br>
*-----------------------------<u></u>--*<br>
*Added group "ad_users_external"*<br>
*-----------------------------<u></u>--*<br>
*  Group name: ad_users_external*<br>
*  Description: <a href="http://infra.com" target="_blank">infra.com</a> <<a href="http://infra.com" target="_blank">http://infra.com</a>> users external map*<br>
<br>
*[root@kwtpocpbis01 ~]# ipa group-add --desc='<a href="http://infra.com" target="_blank">infra.com</a> <<br>
<a href="http://infra.com" target="_blank">http://infra.com</a>><br>
users' ad_users*<br>
*----------------------*<br>
*Added group "ad_users"*<br>
*----------------------*<br>
*  Group name: ad_users*<br>
*  Description: <a href="http://infra.com" target="_blank">infra.com</a> <<a href="http://infra.com" target="_blank">http://infra.com</a>> users*<br>
*  GID: 643400005*<br>
<br>
*[root@kwtpocpbis01 ~]# ipa group-add-member ad_users_external<br>
--external<br>
'INFRA\Domain Users'*<br>
*[member user]:*<br>
*[member group]:*<br>
*  Group name: ad_users_external*<br>
*  Description: <a href="http://infra.com" target="_blank">infra.com</a> <<a href="http://infra.com" target="_blank">http://infra.com</a>> users external map*<br>
*  Failed members:*<br>
*    member user:*<br>
*    member group: INFRA\Domain Users: trusted domain object not found*<br>
*-------------------------*<br>
*Number of members added 0*<br>
*-------------------------*<br>
<br>
*[root@kwtpocpbis01 ~]# ipa group-add-member ad_users --groups<br>
ad_users_external*<br>
*  Group name: ad_users*<br>
*  Description: <a href="http://infra.com" target="_blank">infra.com</a> <<a href="http://infra.com" target="_blank">http://infra.com</a>> users*<br>
*  GID: 643400005*<br>
*  Member groups: ad_users_external*<br>
*-------------------------*<br>
*Number of members added 1*<br>
*-------------------------*<br>
<br>
please help me to solve this issue:<br>
<br>
below error is getting on httpd/error_log while trying : *ipa<br>
group-add-member ad_users_external --external 'INFRA\Domain Users'*<br>
<br>
*[Thu Mar 05 11:36:37.371594 2015] [:error] [pid 4090] ipa: WARNING:<br>
Search<br>
on AD DC <a href="http://kwtipaad001.infra.com:3268" target="_blank">kwtipaad001.infra.com:3268</a> <<a href="http://kwtipaad001.infra.com:3268" target="_blank">http://kwtipaad001.infra.com:<u></u>3268</a>><br>
failed with: Insufficient access: SASL(-1): generic failure: GSSAPI<br>
Error:<br>
Unspecified GSS failure.  Minor code may provide more information (Ticket<br>
not yet valid)*<br>
*[Thu Mar 05 11:36:37.<a href="tel:374280%202015" value="+913742802015" target="_blank">374280 2015</a>] [:error] [pid 4090] ipa: INFO:<br>
[jsonserver_kerb] admin@SOLARIS.LOCAL:<br>
group_add_member(u'ad_users_<u></u>external', ipaexternalmember=(u'INFRA\\\\<br>
Domain<br>
Users',), all=False, raw=False, version=u'2.113', no_members=False):<br>
SUCCESS*<br>
<br>
</blockquote>
OK, "Ticket not yet valid" is time synchronization issue -- AD DC has<br>
time behind IPA DC. Check time and time zone settings.<br>
<br>
--<br>
/ Alexander Bokovoy<br>
<br>
</blockquote>
<br>
<br>
</div></div></blockquote></blockquote><span class="HOEnZb"><font color="#888888">
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>