<div dir="ltr"><div>1. Do you have the same realms for both IPA and AD?<br>Yes.</div><div><br></div><div>2. Do you have exactly same DNS domains for both IPA and AD?<br></div><div>Also yes. Because of this we must, for now, maintain 2 seperate DNS implementations: one for AD and one for IPA, because otherwise the service records would name-clash.</div>
<div><br></div><div>If I get correctly from the above description, your new RHEL 6.4 server<br>is enrolled into IPA domain, i.e. its host keytab contains keys to<br>the host service coming from IPA KDC. It probably also uses SSSD in both<br>
nsswitch and PAM configurations?<br></div><div>Correct!</div><div><br></div><div>Are you planning to use pam_winbind/nss_winbind for the Samba/AD interoperability?<br></div><div>I don't know yet. It depends on what works best with this setup. I am not (yet) a Samba wunderguy, so these discussions help me (thanks for that).</div>
<div><br></div><div>Fred</div><div><br></div>On Wed, Jul 3, 2013 at 11:11 AM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:ab@vda.li" target="_blank">ab@vda.li</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="im">On Wed, 03 Jul 2013, Fred van Zwieten wrote:<br>

>Hi there,<br>
><br>
>We have an IPA domain and an AD domain with the exact same domain name.<br>
>This was set up like this because we had the idea at the time that we<br>
>wanted to migrate all AD to IPA. This is still the long term goal, but we<br>
>need to postpone that.<br>
><br>
>All our RHEL62 and RHEL64 servers are IPA clients. Now, we want to<br>
>provision a new RHEL64 server who must run a Samba Server which must be<br>
>member of the AD domain.<br>
><br>
>Questions:<br>
><br>
>1. If this possible?<br>
>2. Will the fact that both IPA and AD have the same name be a problem?<br>
><br>
>I did some preliminary looking around and found the file /etc/krb5.conf as<br>
>a possible problem point.<br>
</div>It would help to explain a bit more about your setup.<br>
<br>
1. Do you have the same realms for both IPA and AD?<br>
2. Do you have exactly same DNS domains for both IPA and AD?<br>
<br>
If I get correctly from the above description, your new RHEL 6.4 server<br>
is enrolled into IPA domain, i.e. its host keytab contains keys to<br>
the host service coming from IPA KDC. It probably also uses SSSD in both<br>
nsswitch and PAM configurations? Are you planning to use<br>
pam_winbind/nss_winbind for the Samba/AD interoperability?<br>
<br>
You can avoid hitting conflicting /etc/krb5.conf for both IPA and AD<br>
uses by containing Samba to use separate krb5.conf. You'll need to add<br>
<br>
KRB5_CONFIG=/path/to/specific/krb5.conf<br>
<br>
to the files that are sources during start up of smbd/winbindd/nmbd.<br>
<br>
However, there will be certain problem with pam_winbind since it does<br>
not allow to redefine krb5.conf.<br>
<span class=""><font color="#888888"><br>
--<br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div></div>