<html><body><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000"><div>Ok thank you. Wonder why it's a problem only on clients - IPA servers are quite ok with that. </div><div><br></div><div data-marker="__SIG_PRE__">Jan</div><br><hr id="zwchr" data-marker="__DIVIDER__"><div data-marker="__HEADERS__"><br></div><div data-marker="__QUOTED_TEXT__">----------------------------------------------------------------------<br><br>Message: 1<br>Date: Wed, 19 Oct 2016 12:28:31 +0200<br>From: Sumit Bose <sbose@redhat.com><br>To: freeipa-users@redhat.com<br>Subject: Re: [Freeipa-users] Unable to resolve AD users from IPA<br>Message-ID:<br>        <20161019102831.GC9339@p.Speedport_W_724V_Typ_A_05011603_00_009><br>Content-Type: text/plain; charset=iso-8859-1<br><br>On Wed, Oct 19, 2016 at 12:08:01PM +0200, Jan Kar?sek wrote:<br>> Hi, <br>> <br>> thank you for help. <br>> <br>> This is my sssd.conf from server : <br>> <br>> [domain/vs.example.cz] <br>> debug_level = 7 <br>> cache_credentials = True <br>> krb5_store_password_if_offline = True <br>> ipa_domain = vs.example.cz <br>> id_provider = ipa <br>> auth_provider = ipa <br>> access_provider = ipa <br>> ipa_hostname = tidmipa02.vs.example.cz <br>> chpass_provider = ipa <br>> ipa_server = tidmipa02.vs.example.cz <br>> ipa_server_mode = True <br>> ldap_tls_cacert = /etc/ipa/ca.crt <br>> [sssd] <br>> services = nss, sudo, pam, ssh <br>> config_file_version = 2 <br>> <br>> domains = vs.example.cz <br>> [nss] <br>> debug_level = 7 <br>> memcache_timeout = 600 <br>> homedir_substring = /home <br>> <br>> [pam] <br>> debug_level = 7 <br>> [sudo] <br>> debug_level = 7 <br>> [autofs] <br>> debug_level = 7 <br>> [ssh] <br>> debug_level = 7 <br>> [pac] <br>> debug_level = 7 <br>> [ifp] <br>> debug_level = 7 <br>> <br>> <br>> I can resolve all groups from client : <br>> <br>> SERVER: id tst99654@cen.example.cz <br>> uid=20019(tst99654@cen.example.cz) gid=5001(csunix) groups=5001(csunix),930000008(final_test_group) <br>> <br>> CLIENT: <br>> getent group 5001 <br>> csunix:x:5001: <br>> <br>> getent group 930000008 <br>> final_test_group:*:930000008: <br>> <br>> getent group final_test_group@vs.example.cz <br>> final_test_group:*:930000008: <br>> <br>> getent group csunix@cen.example.cz <br>> No reply - can't resolve that group from client. <br>> <br>> <br>...<br><br>> <br>> Also I find out that in AD there are multiple objects with gidNumber=5001 <br><br>This might be the issue each gidNumber (and each uidNumber as well)<br>should be unique in the whole environment. Please check with the AD<br>administrators why it was done this way and if it can be changed.<br><br>HTH<br><br>bye,<br>Sumit<br><br><br></div></div></body></html>