<div dir="ltr">Hi<div><br></div><div>I have created 2 fresh users now and i was running below,</div><div><br></div><div><div>[root@freeipa log]# ipa hbactest --user "KWTTESTDC\jude" --host `hostname` --service sshd</div><div>ipa: ERROR: trusted domain user not found</div><div>[root@freeipa log]# ipa hbactest --user "KWTTESTDC\muneer" --host `hostname` --service sshd</div><div>ipa: ERROR: trusted domain user not found</div></div><div><br></div><div>but i can able to test with old users,</div><div><br></div><div><div>[root@freeipa log]# ipa hbactest --user "KWTTESTDC\Administrator" --host `hostname` --service sshd</div><div>--------------------</div><div>Access granted: True</div><div>--------------------</div><div>  Matched rules: allow_all</div><div>  Not matched rules: ad_can_login</div><div>  Not matched rules: local_admin_can_login</div><div>[root@freeipa log]# ipa hbactest --user "KWTTESTDC\ben" --host `hostname` --service sshd</div><div>--------------------</div><div>Access granted: True</div><div>--------------------</div><div>  Matched rules: ad_can_login</div><div>  Matched rules: allow_all</div><div>  Not matched rules: local_admin_can_login</div></div><div><br></div><div><br></div><div>Is there any sync time for trust.?</div><div><br></div><div>when i was trying ipa trust-fetch-domains, i am getting below</div><div><br></div><div><div>[root@freeipa log]# ipa trust-fetch-domains "<a href="http://kwttestdc.com.kw">kwttestdc.com.kw</a>"</div><div>ipa: ERROR: error on server 'freeipa.idm.local': Fetching domains from trusted forest failed. See details in the error_log</div></div><div><br></div><div>Thanks & Regards,</div><div>Ben</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 29, 2016 at 6:33 PM, Ben .T.George <span dir="ltr"><<a href="mailto:bentech4you@gmail.com" target="_blank">bentech4you@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Alex,<div><br></div><div>yea my mistake.</div><div><br></div><div>i was following u this</div><div><br></div><div><a href="http://www.freeipa.org/page/Active_Directory_trust_setup#Allow_access_for_users_from_AD_domain_to_protected_resources" target="_blank">http://www.freeipa.org/page/Active_Directory_trust_setup#Allow_access_for_users_from_AD_domain_to_protected_resources</a><br></div><div><br></div><div><br></div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 29, 2016 at 6:03 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On Fri, 29 Apr 2016, Ben .T.George wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi List,<br>
<br>
I have working setup of one AD, one IPA server and one client server. by<br>
default i can login to client server by using AD username.<br>
<br>
i want to apply HBAC rules against this client server. For that i have done<br>
below steps.<br>
<br>
1. created External group in IPA erver<br>
2. created local POSIX group n IPA server<br>
3. Added AD group to external group<br>
4. added POSIX group to external group.<br>
</blockquote></span>
You should have added external group to POSIX group, not the other way<br>
around.<span><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>
</div></div></blockquote></div><br></div>