<div>Hi, Petr</div><div><br></div><div>all steps listed in <span style="line-height: 1.5;">section 7.4 of Windows integration guide have been done.</span></div><div><br></div><div>user for sync is 'cn=ipa,cn=users,dc=examplemedia,dc=net'</div><div><br></div><div>and l have been verified it with ldapsearch, detail cmd as below:</div><div># ldapsearch -H ldap://ipaad.examplemedia.net -D 'cn=ipa,cn=users,dc=examplemedia,dc=net' -w 'RedHat1!' -b "cn=users,dc=examplemedia,dc=net" -LLL -ZZ</div><div><br></div><div>and sync cmd is created by: </div><div><br></div><div># ipa-replica-manage connect --winsync --binddn="cn=ipa,cn=users,dc=examplemedia,dc=net" --bindpw='RedHat1!' --passsync='redhatredhat' --cacert='/etc/openldap/cacerts/ad.cer' --win-subtree='ou=users,dc=examplemedia,dc=net' -v ipaad.examplemedia.net</div><div><br></div><div>after it has been created, i have also force-sync it. </div><div><br></div><div><div># ipa-replica-manage force-sync --from=ipaad.examplemedia.net</div><div>Directory Manager password:</div><div><br></div><div>ipa: INFO: Setting agreement cn=meToipaad.examplemedia.net,cn=replica,cn=dc\=dev\,dc\=example\,dc\=net,cn=mapping tree,cn=config schedule to 2358-2359 0 to force synch</div><div>ipa: INFO: Deleting schedule 2358-2359 0 from agreement cn=meToipaad.examplemedia.net,cn=replica,cn=dc\=dev\,dc\=example\,dc\=net,cn=mapping tree,cn=config</div><div><br></div><div><br></div><div>root@ipaserver:/var/log/dirsrv/slapd-DEV-EXAMPLE-NET · 06:47 AM Tue May 03 ·</div><div>!41 # echo $?</div><div>0</div></div><div><br></div><div>Nothing error was reported. Any debug info or log i can provide for further analysis? </div><div><br></div><div>Thanks</div><div><br></div><div>Matrix</div><div><div><br></div><div><br></div><div style="font-size: 12px;font-family: Arial Narrow;padding:2px 0 2px 0;">------------------ Original ------------------</div><div style="font-size: 12px;background:#efefef;padding:8px;"><div><b>From: </b> "Petr Vobornik";<pvoborni@redhat.com>;</div><div><b>Date: </b> Mon, May 2, 2016 02:46 AM</div><div><b>To: </b> "Matrix"<matrix.zj@qq.com>; "freeipa-users"<freeipa-users@redhat.com>; <wbr></div><div></div><div><b>Subject: </b> Re: [Freeipa-users] is it possible to use 'ipa-replica' to syncuserbetween different suffix AD and IPA domain?</div></div><div><br></div>On 04/28/2016 05:30 PM, Matrix wrote:<br>> Hi, Petr<br>> <br>> Thanks for your quickly reply.<br>> <br>> I want to integrated linux servers with existed AD, centralized manage HBAC/Sudo <br>> rules.<br>> <br>> So i have setup a standalone IPA server with domain 'example.net', trying to <br>> sync users from existed AD to it with following cmd:<br>> <br>> ipa-replica-manage connect --winsync <br>> --binddn="cn=ipa,cn=users,dc=examplemedia,dc=net" --bindpw='XXXX' <br>> --passsync='XXXX' --cacert='/etc/openldap/cacerts/ipaad.cer' <br>> --win-subtree='ou=users,dc=examplemedia,dc=net' -v ipaad.examplemedia.net<br>> <br>> <br>> After it has been successfully established, users in AD did not sync to IPA.<br><br>Before we go into debugging, please make sure that you have done the<br>steps described in section 7.4 of Windows integration guide:<br><br>https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Windows_Integration_Guide/Setting_up_Active_Directory.html<br><br>> <br>> <br>> For 'trusts' integration method, since user did not sync to IPA at all, how to <br>> set sudo/HBAC rules for users? I have not tried it.<br>> <br>> <br>> Matrix<br>> <br>> <br>> <br>> <br>> ------------------ Original ------------------<br>> *From: * "Petr Vobornik";<pvoborni@redhat.com>;<br>> *Date: * Thu, Apr 28, 2016 11:21 PM<br>> *To: * "Matrix"<matrix.zj@qq.com>; "freeipa-users"<freeipa-users@redhat.com>;<br>> *Subject: * Re: [Freeipa-users] is it possible to use 'ipa-replica' to sync <br>> userbetween different suffix AD and IPA domain?<br>> <br>> On 04/28/2016 04:44 PM, Matrix wrote:<br>>  > Hi, all<br>>  ><br>>  > I am trying to do a centrelized solution<br>>  ><br>>  > AD domain is 'examplemedia.net'<br>>  ><br>>  > IPA domain is 'example.net'<br>>  ><br>>  > After ipa-replica has been established, i found that nothing has been synced<br>>  > from AD to IPA.<br>>  ><br>>  > IPA version: ipa-server-4.2.0-15.0.1.el7.centos.6.1.x86_64<br>>  ><br>>  > I doubt that for different suffix is supported ?  If so, anyone can show some<br>>  > hint for me to investigate more?<br>>  ><br>>  > Thanks for your kindly help.<br>>  ><br>>  > Matrix<br>> <br>> Hello,<br>> <br>> what is your goal and current setup?<br>> <br>> By "ipa-replica has been established" do you mean that you installed a<br>> new currently standalone IPA server? And connected it somehow with AD?<br>> <br>> Or did you run `ipa-replica-manage connect --winsync ...`<br>> <br>> It would be good to mention that IPA server[1] cannot be a replica of an<br>> AD server. But it can integrate with it. Either by using<br>> winsync(synchronization) or the recommended solution: Trusts [2].<br>> <br>> Documentation:<br>> [1]<br>> https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html<br>> [2]<br>> https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Windows_Integration_Guide/pt02.html<br>> <br>> HTH<br>> -- <br>> Petr Vobornik<br>> <br><br><br>-- <br>Petr Vobornik</div>