<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Apr 19, 2013 at 1:08 PM, Sumit Bose <span dir="ltr"><<a href="mailto:sbose@redhat.com" target="_blank">sbose@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div class=""><div class="h5">On Fri, Apr 19, 2013 at 12:47:47PM +0200, Natxo Asenjo wrote:<br>
> hi,<br>
><br>
> just a little 'but'.<br>
><br>
> when verifying the trust (point 12<br>
> <a href="https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/trust-diff-dns-domains.html" target="_blank">https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/trust-diff-dns-domains.html</a>)<br>

><br>
><br>
> # kinit user<br>
> Password for nasenjo@IPA.ASENJO.NX:<br>
> [root@kdc ~]# kvno host/host.ipa.asenjo.nx@IPA.ASENJO.NX<br>
> host/host.ipa.asenjo.nx@IPA.ASENJO.NX: kvno = 2<br>
> [root@kdc ~]# kvno cifs/win2k8.ad.asenjo.nx@AD.ASENJO.NX<br>
> kvno: KDC policy rejects request while getting credentials for<br>
> cifs/win2k8.ad.asenjo.nx@AD.ASENJO.NX<br>
<br>
</div></div>Can you check if klist shows a cross-realm ticket like<br>
krbtgt/AD.REALM@IPA.REALM after the second kvno call? If yes, if might<br>
be a policy on the AD side which rejects the request.<br>
<br></blockquote><div><div><div>hi,<br><br></div>yes, the krbtgt ticket for the AD domain is there all right.<br><br></div>let's try to find out where to allow that request then.<br><br clear="all"><div>--<br>Groeten,<br>
natxo</div></div></div></div></div>