<div dir="ltr">Hi <div><br></div><div>i have re-installed everything . my current versions are Centos 7 with IPA 4.1</div><div><br></div><div>i followed this tutorial: <a href="http://www.freeipa.org/page/Howto/IPAv3_AD_trust_setup">http://www.freeipa.org/page/Howto/IPAv3_AD_trust_setup</a></div><div><br></div><div>when i fetch , it went successful:</div><div><i><font color="#0000ff"><br></font></i></div><div><div><i><font color="#0000ff">[root@kwtpocpbis01 ~]# ipa trustdomain-find "<a href="http://infra.com">infra.com</a>"</font></i></div><div><i><font color="#0000ff">  Domain name: <a href="http://infra.com">infra.com</a></font></i></div><div><i><font color="#0000ff">  Domain NetBIOS name: INFRA</font></i></div><div><i><font color="#0000ff">  Domain Security Identifier: S-1-5-21-191287045-4012216658-3592112898</font></i></div><div><i><font color="#0000ff">  Domain enabled: True</font></i></div><div><i><font color="#0000ff">----------------------------</font></i></div><div><i><font color="#0000ff">Number of entries returned 1</font></i></div><div><i><font color="#0000ff">----------------------------</font></i></div><div><i><font color="#0000ff">[root@kwtpocpbis01 ~]# ipa trustdomain-find "<a href="http://infra.com">infra.com</a>"</font></i></div><div><i><font color="#0000ff">  Domain name: <a href="http://infra.com">infra.com</a></font></i></div><div><i><font color="#0000ff">  Domain NetBIOS name: INFRA</font></i></div><div><i><font color="#0000ff">  Domain Security Identifier: S-1-5-21-191287045-4012216658-3592112898</font></i></div><div><i><font color="#0000ff">  Domain enabled: True</font></i></div><div><i><font color="#0000ff">----------------------------</font></i></div><div><i><font color="#0000ff">Number of entries returned 1</font></i></div><div><i><font color="#0000ff">----------------------------</font></i></div></div><div><br></div>when i gone through "Allow access for users from AD domain to protected resources", i am getting errors,<div><br></div><div><br><div><i><font color="#0000ff">[root@kwtpocpbis01 ~]# ipa group-add --desc='<a href="http://infra.com">infra.com</a> users external map' ad_users_external --external</font></i></div><div><i><font color="#0000ff">-------------------------------</font></i></div><div><i><font color="#0000ff">Added group "ad_users_external"</font></i></div><div><i><font color="#0000ff">-------------------------------</font></i></div><div><i><font color="#0000ff">  Group name: ad_users_external</font></i></div><div><i><font color="#0000ff">  Description: <a href="http://infra.com">infra.com</a> users external map</font></i></div><div><i><font color="#0000ff"><br></font></i></div><div><i><font color="#0000ff">[root@kwtpocpbis01 ~]# ipa group-add --desc='<a href="http://infra.com">infra.com</a> users' ad_users</font></i></div><div><i><font color="#0000ff">----------------------</font></i></div><div><i><font color="#0000ff">Added group "ad_users"</font></i></div><div><i><font color="#0000ff">----------------------</font></i></div><div><i><font color="#0000ff">  Group name: ad_users</font></i></div><div><i><font color="#0000ff">  Description: <a href="http://infra.com">infra.com</a> users</font></i></div><div><i><font color="#0000ff">  GID: 643400005</font></i></div><div><i><font color="#0000ff"><br></font></i></div><div><i><font color="#0000ff">[root@kwtpocpbis01 ~]# ipa group-add-member ad_users_external --external 'INFRA\Domain Users'</font></i></div><div><i><font color="#0000ff">[member user]:</font></i></div><div><i><font color="#0000ff">[member group]:</font></i></div><div><i><font color="#0000ff">  Group name: ad_users_external</font></i></div><div><i><font color="#0000ff">  Description: <a href="http://infra.com">infra.com</a> users external map</font></i></div><div><i><font color="#0000ff">  Failed members:</font></i></div><div><i><font color="#0000ff">    member user:</font></i></div><div><i><font color="#0000ff">    member group: INFRA\Domain Users: trusted domain object not found</font></i></div><div><i><font color="#0000ff">-------------------------</font></i></div><div><i><font color="#0000ff">Number of members added 0</font></i></div><div><i><font color="#0000ff">-------------------------</font></i></div><div><i><font color="#0000ff"><br></font></i></div><div><i><font color="#0000ff">[root@kwtpocpbis01 ~]# ipa group-add-member ad_users --groups ad_users_external</font></i></div><div><i><font color="#0000ff">  Group name: ad_users</font></i></div><div><i><font color="#0000ff">  Description: <a href="http://infra.com">infra.com</a> users</font></i></div><div><i><font color="#0000ff">  GID: 643400005</font></i></div><div><i><font color="#0000ff">  Member groups: ad_users_external</font></i></div><div><i><font color="#0000ff">-------------------------</font></i></div><div><i><font color="#0000ff">Number of members added 1</font></i></div><div><i><font color="#0000ff">-------------------------</font></i></div></div><div><br></div><div>please help me to solve this issue:</div><div><br></div><div>below error is getting on httpd/error_log while trying : <i><font color="#0000ff">ipa group-add-member ad_users_external --external 'INFRA\Domain Users'</font></i></div><div><br></div><div><div><i><font color="#0000ff">[Thu Mar 05 11:36:37.371594 2015] [:error] [pid 4090] ipa: WARNING: Search on AD DC <a href="http://kwtipaad001.infra.com:3268">kwtipaad001.infra.com:3268</a> failed with: Insufficient access: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Ticket not yet valid)</font></i></div><div><i><font color="#0000ff">[Thu Mar 05 11:36:37.374280 2015] [:error] [pid 4090] ipa: INFO: [jsonserver_kerb] admin@SOLARIS.LOCAL: group_add_member(u'ad_users_external', ipaexternalmember=(u'INFRA\\\\Domain Users',), all=False, raw=False, version=u'2.113', no_members=False): SUCCESS</font></i></div></div><div><i><font color="#0000ff"><br></font></i></div><div><font color="#000000">Thanks & Regards,</font></div><div><font color="#000000">Ben</font></div></div>