<div dir="ltr"><div><div><div>Hi Aleksander and Tomas, thanks for quick responses!</div><div><br></div></div></div><div>I 
find trust-based solution more advanced but also more complicated - two sites, one with FreeIPA and 
other with AD domain, limited communication from FreeIPA to AD site, FreeIPA not aware of AD sites, questionable use of RODCs and Kerberos which heavily depends on DNS. Acceptable solution would be public key login for my AD users but they are not able to log in to Free IPA web UI to update their SSH keys.<br></div><div>So Winsync seems like simpler solution here.<br><br>Regards,<br></div><div>Srdjan.<br><br><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Oct 27, 2015 at 6:20 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, 27 Oct 2015, Tomas Babej wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
<br>
On 10/27/2015 05:51 PM, Srdjan Dutina wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi!<br>
<br>
</blockquote>
<br>
Hello Srdjan,<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Is syncing (winsync) users and passwords from MS Active Directory<br>
deprecated in FreeIPA 4.x?<br>
If not, is there some documentation on how to use it?<br>
<br>
</blockquote>
<br>
Winsync synchronization is not deprecated as of now, but we are trying<br>
to move away from it in favor of the trust-based solution. I would<br>
certainly encourage you to try that before using winsync.<br>
</blockquote></span>
Documentation is in the 'Windows Integration Guide':<br>
<a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Windows_Integration_Guide/pt02.html" rel="noreferrer" target="_blank">https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Windows_Integration_Guide/pt02.html</a><br>
<br>
Chapter 7 covers winsync.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Additionaly, when using FreeIPA - AD trust, is it possible for user from<br>
trusted domain to log on to FreeIPA web UI?<br>
</blockquote>
<br>
Yes.<br>
</blockquote></span>
No. AD users cannot login to web UI. We are planning to add this<br>
possibility in FreeIPA 4.4 or around that time, to allow AD users to<br>
manage parts of their ID overrides.<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>