<p dir="ltr">Hi Sumit,</p>
<p dir="ltr">Thank you very much for the prompt reply<br></p>
<p dir="ltr">[root@support1 ~]# ipa trustdomain-find <a href="http://windows.com" target="_blank">windows.com</a><br>
  Domain name: <a href="http://windows.com" target="_blank">windows.com</a><br>
  Domain NetBIOS name: WINDOWS<br>
  Domain Security Identifier: S-1-5-21-1701591335-3855227394-3044674468<br>
  Domain enabled: True</p>
<p dir="ltr">  Domain name: <a href="http://acme.windows.com" target="_blank">acme.windows.com</a><br>
  Domain NetBIOS name: ACME<br>
  Domain Security Identifier: S-1-5-21-1215373191-1991333051-3772904882<br>
  Domain enabled: True<br>
----------------------------<br>
Number of entries returned 2<br>
----------------------------</p>
<p dir="ltr">[root@support1 ~]# ipa trust-fetch-domains <a href="http://windows.com" target="_blank">windows.com</a><br>
-------------------------------<br>
No new trust domains were found<br>
-------------------------------<br>
----------------------------<br>
Number of entries returned 0<br>
----------------------------</p>
<p dir="ltr">Regards</p>
<div class="gmail_quote">Le 11 déc. 2014 20:08, "Sumit Bose" <<a href="javascript:_e(%7B%7D,'cvml','sbose@redhat.com');" target="_blank">sbose@redhat.com</a>> a écrit :<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, Dec 11, 2014 at 06:45:49PM +0100, Manuel Lopes wrote:<br>
>  Hello,<br>
><br>
><br>
> We have been following the AD integration guide for IPAv3:<br>
> <a href="http://www.freeipa.org/page/Howto/IPAv3_AD_trust_setup" target="_blank">http://www.freeipa.org/page/Howto/IPAv3_AD_trust_setup</a><br>
><br>
><br>
><br>
> Our setup is:<br>
><br>
> • 2 domain controllers with Windows 2008 R2 AD DC -> <a href="http://windows.com" target="_blank">windows.com</a><br>
> <<a href="http://example.com/" target="_blank">http://example.com/</a>> as Forest Root Domain and <a href="http://acme.windows.com" target="_blank">acme.windows.com</a><br>
> <<a href="http://acme.example.com/" target="_blank">http://acme.example.com/</a>> as transitive child domain<br>
><br>
> • RHEL7 as IPA server with domain: <a href="http://linux.com" target="_blank">linux.com</a><br>
> <<a href="http://linux.acme.example.com/" target="_blank">http://linux.acme.example.com/</a>><br>
><br>
><br>
><br>
> We have established a forest trust between <a href="http://windows.com" target="_blank">windows.com</a> and <a href="http://linux.com" target="_blank">linux.com</a> and<br>
> everything seems OK from an IPA perspective.<br>
><br>
><br>
><br>
> We can work with Kerberos tickets without any issue from “windows” domain<br>
> or his child domain “acme”. (kinit, kvno…)<br>
><br>
><br>
><br>
> When we use samba tools, the following command is working fine.<br>
><br>
> *[root@support1 ]# wbinfo -n 'WINDOWS\Domain Admins'*<br>
><br>
> *S-1-5-21-1701591335-3855227394-3044674468-512 SID_DOM_GROUP (2)*<br>
><br>
><br>
><br>
> But, the same command against the acme domain returns an error.<br>
><br>
> *[root@support1 ]# wbinfo -n 'ACME\Domain Admins'*<br>
><br>
> *failed to call wbcLookupName: WBC_ERR_DOMAIN_NOT_FOUND*<br>
><br>
> *Could not lookup name ACME\Domain Admins*<br>
><br>
><br>
><br>
> Same problem with the following command:<br>
><br>
> *[root@support1]# ipa group-add-member ad_users_external --external<br>
> "ACME\Domain Users"*<br>
><br>
> *[member user]:*<br>
><br>
> *[member group]:*<br>
><br>
> *  Group name: ad_users_external*<br>
><br>
> *  Description: AD users external map*<br>
><br>
> *  External member: *<br>
><br>
> *  Member of groups: ad_users*<br>
><br>
> *  Failed members:*<br>
><br>
> *    member user:*<br>
><br>
> *    member group: ACME\Domain Users: Cannot find specified domain or<br>
> server name*<br>
><br>
> *-------------------------*<br>
><br>
> *Number of members added 0*<br>
><br>
><br>
><br>
><br>
><br>
> Any help would be appreciated<br>
<br>
Does<br>
<br>
ipa trustdomain-find <a href="http://windows.com" target="_blank">windows.com</a><br>
<br>
show <a href="http://acme.windows.com" target="_blank">acme.windows.com</a> as well ?<br>
<br>
Does<br>
<br>
ipa trust-fetch-domains ad.devel<br>
<br>
help to retrieve the child domain?<br>
<br>
Please note that if <a href="http://acme.windows.com" target="_blank">acme.windows.com</a> now shows up you might have to wait<br>
1-2 minutes until SSSD's negative caches are flushed and the new domains<br>
is discovered by SSSD, as an alternative you can just restart SSSD.<br>
<br>
HTH<br>
<br>
bye,<br>
Sumit<br>
<br>
><br>
><br>
><br>
> Regards<br>
<br>
> --<br>
> Manage your subscription for the Freeipa-users mailing list:<br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
<br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project</blockquote></div>