<div dir="ltr"><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, May 30, 2014 at 6:40 PM, Dmitri Pal <span dir="ltr"><<a href="mailto:dpal@redhat.com" target="_blank">dpal@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000"><div><div class="h5">
    <div>On 05/30/2014 05:00 PM, tizo wrote:<br>
    </div>
    <blockquote type="cite">
      <div dir="ltr">
        <div>
          <div><br>
                From: Alexander Bokovoy <abokovoy redhat com><br>
                To: Sumit Bose <sbose redhat com><br>
                Cc: freeipa-users redhat com<br>
                Subject: Re: [Freeipa-users] Trust services<br>
                Date: Thu, 29 May 2014 02:47:38 -0400 (EDT)<br>
            <br>
            ----- Original Message -----<br>
            > On Wed, May 28, 2014 at 10:47:13AM -0300, tizo wrote:<br>
            > > I would like to know, if having configured trusts
            services between FreeIPA<br>
            > > and Active Directory, allow AD users to
            authenticate in services that are<br>
            > > only configured to authenticate against FreeIPA.<br>
            > > <br>
            > > For example, having configured the trusts, if I
            have a mail server that is<br>
            > > using FreeIPA as its authentication method, can a
            user A from Active<br>
            > > Directory, who does not exist in FreeIPA,
            authenticate in the mail server?.<br>
            > <br>
            > It depends a bit on how the users authenticate exactly
            because IPA<br>
            > offers Kerberos and LDAP authentication.<br>
            > <br>
            > Kerberos should work out of the box because thats one
            of the trusts<br>
            > components, trusting Kerberos tickets from the other
            domain/realm.<br>
            > <br>
            > For LDAP authentication you should be able to find the
            users from the<br>
            > trusted domain in the compat tree below<br>
            > cn=compat,dc=your,dc=ipa,dc=domain . To authenticate
            the user you can<br>
            > do a LDAP bind with the DN form the compat tree and the
            password used in<br>
            > AD.<br>
            Please note that the latter is valid only for FreeIPA 3.3
            and later. <br>
            FreeIPA 3.0 does not support authentication over LDAP in the
            compat tree.<br>
            -- <br>
            / Alexander Bokovoy<br>
            <br>
          </div>
          Ok. I will definitively use Kerberos. But looking at the
          diagram of page 22 in <a href="http://www.freeipa.org/images/1/1e/Devconf2013-linux-ad-integration-options.pdf" target="_blank">http://www.freeipa.org/images/1/1e/Devconf2013-linux-ad-integration-options.pdf</a>
          I see that SSSD in the GNU/Linux host is authenticating
          against both Active Directory and FreeIPA. Does the email
          server that I mentioned before, have to be configured in a
          similar way that SSSD in the GNU/Linux host of the example? Or
          is just enough that it is configured against the FreeIPA
          Kerberos and nothing else?.<br>
        </div>
      </div>
    </blockquote>
    <br></div></div>
    You configure client (SSSD) to point to IPA but it will discover
    that IPA is in trust relations and would know how to deal with
    tickets coming from AD side.<br>
    This is why there are two arrows. They show communication.<br></div></blockquote></div><br></div><div class="gmail_extra">Ok. And what about a mail server?. We are planning to use Zimbra, and we want that users from both FreeIPA and AD use it. Could we just configure it to authenticate against FreeIPA Kerberos?. Or do we have to make something else?.<br>
</div></div>