<div dir="ltr"><div>Here is my environment :</div><div><br></div><div>1 Windows Domain</div><div>Windows workstations</div><div>Windows servers</div><div>Multiple linux domains</div><div>Linux workstations</div><div>Linux servers</div><div><br></div><div>Here is my goal :</div><div><br></div><div>All users are centralized in the Active Directory.</div><div>Users will authenticate on linux workstations with their AD accounts ( using POSIX attributes).</div><div>Linux workstations must have access to NFS shares on Linux servers.</div><div><br></div><div><br></div><div>What are the limitations ?</div><div>Windows users equals ipa users in term of services ?</div><div><br></div><div>Do I have to configure kerberos to also join directly the Windows Kerberos Realm, </div><div>or will IPA do the job to ask Windows server ?</div><div><br></div><div>in etc/krb5.conf :</div><div><br></div><div>includedir /var/lib/sss/pubconf/krb5.include.d/</div><div><br></div><div>[libdefaults]</div><div>  default_realm = <a href="http://IPA.ORG">IPA.ORG</a></div><div>  dns_lookup_realm = true</div><div>  dns_lookup_kdc = true</div><div>  rdns = false</div><div>  ticket_lifetime = 24h</div><div>  forwardable = yes</div><div>  udp_preference_limit = 0</div><div>  default_ccache_name = KEYRING:persistent:%{uid}</div><div>  canonicalize = yes</div><div>  allow_weak_crypto = true</div><div><br></div><div>[realms]</div><div>  <a href="http://IPA.ORG">IPA.ORG</a> = {</div><div>    pkinit_anchors = FILE:/etc/ipa/ca.crt</div><div>    auth_to_local = RULE:[1:$1@$0](^.*@WINDOMAIN.LOCAL$)s/@WINDOMAIN.LOCAL/@windomain.local/</div><div>    auth_to_local = DEFAULT</div><div><br></div><div>  }</div><div><br></div><div>### IS THIS NECESSARY</div><div><span class="" style="white-space:pre">   </span>WINDOMAIN.LOCAL = {</div><div>               kdc = srvadipa.windomain.local</div><div>               admin_server = srvadipa.windomain.local</div><div><span class="" style="white-space:pre">       </span>}</div><div><br></div><div><br></div><div>[domain_realm]</div><div>  .<a href="http://cosmo.org">cosmo.org</a> = <a href="http://COSMO.ORG">COSMO.ORG</a></div><div>  <a href="http://cosmo.org">cosmo.org</a> = <a href="http://COSMO.ORG">COSMO.ORG</a></div><div><br></div><div>### IS THIS NECESSARY</div><div>  </div><div>  .windomain.local = WINDOMAIN.LOCAL</div><div>  windomain.local = WINDOMAIN.LOCAL</div><div><br></div><div><br></div><div><br></div><div><br></div><div>Is the bug in libnfsidmap still active and prevents Windows users to access to </div><div>NFS4 krb5 secured shared folder ?</div><div><br></div><div>I currently have </div><div><br></div><div>bug here:</div><div><a href="https://www.redhat.com/archives/freeipa-users/2014-June/msg00163.html">https://www.redhat.com/archives/freeipa-users/2014-June/msg00163.html</a></div><div><br></div></div>