<div dir="ltr">Hello,<div><br></div><div>I have a problem with Samba setup that I haven't been able to overcome for months.  I am trying to setup samba on RHEL 7 using SSSD instead of winbind </div><div><br></div><div>Currently, I have a one way trust between the production Active directory and productin IPA.  I have users on IPA and Active directory. For example, I have an account called <a href="mailto:william@activedirectory.example.com">william@activedirectory.example.com</a> and <a href="mailto:william@ipa.example.com">william@ipa.example.com</a>.  To get sharing working, I have created a posix group that now have of the above users.  The intent is, I should be able to write to my Linux home user irrespective of what account I log in with.</div><div><br></div><div><div><br></div><div>[homes]</div><div>        comment = Home Directories</div><div>        path = /home/william</div><div>        browseable = yes</div><div>        writeable = yes</div><div>        valid users = @william_posix_group</div><div><br></div></div><div><br></div><div> From any of the IPA clients, samba seem to work fine.  I can login with samba client, delete, list and do anything.  With klist, I do see both the CIFS and Linux host ticket.</div><div><br></div><div>From Windows though, it don't work.  I see that the Windows system did actually get the host ticket for the server running samba,  the Windows hots ticket  but the CIFS ticket is missing.</div><div><br></div><div>With that background, I have setup a dummy active directory called test.local.  Essentially, I intend to destroy it once I verify that the behaviour is consistent with the production active directory.  I am however stuck with DNS setup, and can't therefore establish trust between production IPA and dummy active directory.</div><div><br></div><div>Would you know what I could be doing wrong with from the logs below?</div><div><br></div><div><div>[root@lithium ~]# ipa dnsforwardzone-add test.local. --forwarder=192.168.11.56 --forward-policy=first</div><div>Server will check DNS forwarder(s).</div><div>This may take some time, please wait ...</div><div>ipa: WARNING: DNSSEC validation failed: record 'test.local. SOA' failed DNSSEC validation on server 192.168.20.1.</div><div>Please verify your DNSSEC configuration or disable DNSSEC validation on all IPA servers.</div><div>  Zone name: test.local.</div><div>  Active zone: TRUE</div><div>  Zone forwarders: 192.168.11.56</div><div>  Forward policy: first</div><div>[root@lithium ~]# dig  +short -t SRV _kerberos._udp.dc._msdcs.test.local</div><div>[root@lithium ~]# dig @<a href="http://192.168.11.56">192.168.11.56</a>  +short -t SRV _kerberos._udp.dc._msdcs.test.local</div><div>0 100 88 server.test.local.</div><div>[root@lithium ~]#</div></div><div><br></div><div><br></div><div>Regards,</div><div>William</div></div>