<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Dec 5, 2014 at 12:26 PM,  <span dir="ltr"><<a href="mailto:freeipa-users-request@redhat.com" target="_blank">freeipa-users-request@redhat.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Send Freeipa-users mailing list submissions to<br>
        <a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a><br>
<br>
To subscribe or unsubscribe via the World Wide Web, visit<br>
        <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
or, via email, send a message with subject or body 'help' to<br>
        <a href="mailto:freeipa-users-request@redhat.com">freeipa-users-request@redhat.com</a><br>
<br>
You can reach the person managing the list at<br>
        <a href="mailto:freeipa-users-owner@redhat.com">freeipa-users-owner@redhat.com</a><br>
<br>
When replying, please edit your Subject line so it is more specific<br>
than "Re: Contents of Freeipa-users digest..."<br>
<br>
<br>
Today's Topics:<br>
<br>
   1. ad trust and default_domain_suffix (Nicolas Zin)<br>
   2. Re: ad trust and default_domain_suffix (Nicolas Zin)<br>
   3. Re: strange error - disconnecting a replica? (Martin Kosek)<br>
   4. Re: strange error - disconnecting a replica? (thierry bordaz)<br>
   5. Re: strange error - disconnecting a replica? (thierry bordaz)<br>
   6. Re: strange error - disconnecting a replica? (Martin Kosek)<br>
   7. Re: Cross-Realm authentification (Andreas Ladanyi)<br>
<br>
<br>
----------------------------------------------------------------------<br>
<br>
Message: 1<br>
Date: Thu, 4 Dec 2014 12:49:36 -0500 (EST)<br>
From: Nicolas Zin <<a href="mailto:nicolas.zin@savoirfairelinux.com">nicolas.zin@savoirfairelinux.com</a>><br>
To: <a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a><br>
Subject: [Freeipa-users] ad trust and default_domain_suffix<br>
Message-ID: <227542639.160677.1417715376443.JavaMail.root@mail><br>
Content-Type: text/plain; charset=utf-8<br>
<br>
Hi,<br>
<br>
I have a IDM (v3.3) installed on a Redhat7.<br>
I have a IDM realm connected to an AD via trust relationship.<br>
In the IDM realm there are Redhat6 and Redhat5 clients.<br>
<br>
<br>
My client ask to be able to connect to the Linux machine with their AD without entering their domain (just username). On Redhat 6 there is an option for sssd (default_domain_suffix=)<br>
Seems to be exactly what I need, but I have a problem. If I use this option, I can indeed login with my AD username with domain name, but I cannot login with my Linux IDM username anymore, even if I use my fully qualified username@realm. i.e. In the middle of the PAM authentication it seems to fails (when ssh to the machine with ssh <server> -l admin@<realm>, I get Write failed: Broken pipe). If needed I can send more logs.<br>
<br>
I reproduce the problem in a more simple environment: just a Linux realm, and default_domain_suffix set to a inexistant domain, and again I cannot ssh to my server with my fully qualified username@realm<br>
<br>
Here is my sssd.conf:<br>
[domain/idm1]<br>
cache_credentials = True<br>
krb5_store_password_if_offline = True<br>
ipa_domain = idm1<br>
id_provider = ipa<br>
auth_provider = ipa<br>
access_provider = ipa<br>
ipa_hostname = dc.idm1<br>
chpass_provider = ipa<br>
ipa_server = dc.idm1<br>
ipa_server_mode = True<br>
ldap_tls_cacert = /etc/ipa/ca.crt<br>
[sssd]<br>
services = nss, pam, ssh<br>
config_file_version = 2<br>
<br>
domains = idm1<br>
<br>
default_domain_suffix=<a href="http://toto.com" target="_blank">toto.com</a><br>
[nss]<br>
<br>
[pam]<br>
<br>
[sudo]<br>
<br>
[autofs]<br>
<br>
[ssh]<br>
<br>
[pac]<br>
<br>
<br>
<br>
Here is my krb5.conf:<br>
includedir /var/lib/sss/pubconf/krb5.include.d/<br>
<br>
[logging]<br>
 default = FILE:/var/log/krb5libs.log<br>
 kdc = FILE:/var/log/krb5kdc.log<br>
 admin_server = FILE:/var/log/kadmind.log<br>
<br>
[libdefaults]<br>
 default_realm = IDM1<br>
 dns_lookup_realm = false<br>
 dns_lookup_kdc = true<br>
 rdns = false<br>
 ticket_lifetime = 24h<br>
 forwardable = yes<br>
 default_ccache_name = KEYRING:persistent:%{uid}<br>
 ignore_acceptor_hostname = true<br>
<br>
[realms]<br>
 IDM1 = {<br>
  kdc = dc.idm1:88<br>
  master_kdc = dc.idm1:88<br>
  admin_server = dc.idm1:749<br>
  default_domain = idm1<br>
  pkinit_anchors = FILE:/etc/ipa/ca.crt<br>
}<br>
<br>
[domain_realm]<br>
 .idm1 = IDM1<br>
 idm1 = IDM1<br>
<br>
[dbmodules]<br>
  IDM1 = {<br>
    db_library = ipadb.so<br>
  }<br>
<br>
<br>
<br>
is there something to add to make it working?<br>
<br>
<br>
<br>
<br>
Site note: also with Redhat5 which is configured following ipa-advise sssd-before-1.9, the default_domain_suffix is not understood with sssd<1.9. Is there a way to connect to force RHEL5 to let my windows user connect without entering their domain. I don?t know if there is a way to tune the compatibility tree return by the ldap server for example.<br>
<br>
Or should I try to compile sssd 1.9 for RHEL5? (but I guess this is easier said than done) or it doesn?t worth it? (incompatibility with kerberos, or with the RHEL5 kernel?)<br>
<br>
<br>
Regards,<br>
<br>
<br>
Nicolas Zin<br>
<br>
<br>
<br>
------------------------------<br>
<br>
Message: 2<br>
Date: Thu, 4 Dec 2014 16:53:00 -0500 (EST)<br>
From: Nicolas Zin <<a href="mailto:nicolas.zin@savoirfairelinux.com">nicolas.zin@savoirfairelinux.com</a>><br>
To: <a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a><br>
Subject: Re: [Freeipa-users] ad trust and default_domain_suffix<br>
Message-ID: <992955671.305465.1417729980028.JavaMail.root@mail><br>
Content-Type: text/plain; charset=utf-8<br>
<br>
I answer to myself. (but my problem is not resolved)<br>
<br>
> ----- Mail original -----<br>
> De: "Nicolas Zin" <<a href="mailto:nicolas.zin@savoirfairelinux.com">nicolas.zin@savoirfairelinux.com</a>><br>
> ?: <a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a><br>
> Envoy?: Jeudi 4 D?cembre 2014 18:49:36<br>
> Objet: [Freeipa-users] ad trust and default_domain_suffix<br>
><br>
> Hi,<br>
><br>
> I have a IDM (v3.3) installed on a Redhat7.<br>
> I have a IDM realm connected to an AD via trust relationship.<br>
> In the IDM realm there are Redhat6 and Redhat5 clients.<br>
><br>
><br>
> My client ask to be able to connect to the Linux machine with their AD without entering their domain (just username). On Redhat 6 there is an option for sssd (default_domain_suffix=)<br>
> Seems to be exactly what I need, but I have a problem. If I use this option, I can indeed login with my AD username with domain name, but I cannot login with my Linux IDM username anymore, even if I use my fully qualified username@realm. i.e. In the middle of the PAM authentication it seems to fails (when ssh to the machine with ssh <server> -l admin@<realm>, I get Write failed: Broken pipe). If needed I can send more logs.<br>
><br>
> I reproduce the problem in a more simple environment: just a Linux realm, and default_domain_suffix set to a inexistant domain, and again I cannot ssh to my server with my fully qualified username@realm<br>
<br>
so when I try to do "ssh localhost -l admin@idm1" (idm is my domain name),<br>
in the /var/log/sssd/sssd_nss.log I find:<br>
...<br>
(Wed Dec  3 22:44:43 2014) [sssd[nss]] [nss_cmd_getpwnam_search] (0x0100): Requesting info for [admin@idm1]<br>
(Wed Dec  3 22:44:43 2014) [sssd[nss]] [nss_cmd_getbynam] (0x0100): Requesting info for [admin] from [idm1]<br>
(Wed Dec  3 22:44:43 2014) [sssd[nss]] [nss_cmd_getpwnam_search] (0x0100): Requesting info for [admin@idm1]<br>
(Wed Dec  3 22:44:43 2014) [sssd[nss]] [nss_cmd_getbynam] (0x0100): Requesting info for [admin] from [idm1]<br>
(Wed Dec  3 22:44:43 2014) [sssd[nss]] [nss_cmd_getpwnam_search] (0x0100): Requesting info for [admin@idm1]<br>
(Wed Dec  3 22:44:43 2014) [sssd[nss]] [nss_cmd_getbynam] (0x0100): Requesting info for [admin] from [idm1]<br>
(Wed Dec  3 22:44:43 2014) [sssd[nss]] [nss_cmd_getpwnam_search] (0x0100): Requesting info for [admin@idm1]<br>
(Wed Dec  3 22:44:43 2014) [sssd[nss]] [nss_cmd_getbynam] (0x0100): Requesting info for [admin] from [idm1]<br>
(Wed Dec  3 22:44:43 2014) [sssd[nss]] [nss_cmd_getpwnam_search] (0x0100): Requesting info for [admin@idm1]<br>
(Wed Dec  3 22:44:43 2014) [sssd[nss]] [nss_cmd_getbynam_done] (0x0040): Invalid name received [admin]<br>
<br>
<br>
So it seems to be a problem with nss not able to find my user.<br>
Indeed, if I do a "getent passwd admin" it doesn't show anything, but if I do a "getent passwd admin@idm1" it works.<br>
<br>
I found a "workardound":<br>
getent passwd admin@idm1 >> /etc/passwd<br>
<br>
<br>
Now I can ssh to my server:<br>
ssh localhost -l admin@idm1<br>
<br>
<br>
<br>
Is it a bug? is there a better "workaround"?<br>
<br>
<br>
Regards,<br>
<br>
<br>
<br>
------------------------------<br>
<br></blockquote><div>Hi,<br><br></div><div>Did you find any other workaround for this issue?<br></div><div>I am also having same issue. I am looking for migrating existing IPA to full trust with AD, this might be not acceptable to my end users.<br><br></div><div>Anyone else has any workaround on using default_domain_suffix for AD users but without using fully qualified name for IPA users?<br><br></div><div>I observed that if the IPA user is in sssd cache, id other command works for IPA user but ssh without @ipadomain does not work in any case.<br><br></div><div>Regards,<br>Shashikant<br></div><div><br> </div></div></div></div>