<div dir="ltr">Hello Alexander,<br><br>Thank you very much for your answers!<br><br>> If Windows client is not a part of the domain, there is no SSO and no<br>> Kerberos. Windows client will attempt using NTLMSSP authentication.<br>> ...<br>> Right now -- yes. You are saying you've following "FreeIPA's Samba<br>> integration guide" which I assume is<br>> <a href="http://www.freeipa.org/page/Howto/Integrating_a_Samba_File_Server_With_IPA">http://www.freeipa.org/page/Howto/Integrating_a_Samba_File_Server_With_IPA</a>,<br>> which only works for Kerberos authentication because NTLMSSP is not<br>> supported by the SSSD.<br><br>Yes, your assumption is absolutely exact ;-)<br><br>That's clear now, my thoughts went on this direction too: anyone is handling a new kerberos ticket request because of authentication type.<br><br>> Not really. The story is more complex than it seems and right now there<br>> is no ready-made solution for out-of-domain Windows clients.<br><br>Ok, I understand.<br><br>Then, I'd go for an LDAP approach pointing Samba to IPA's directory (this works fine on Samba3 and 389-DS), but I'm not sure about the configuration. Can file-server's SSSD have Kerberos auth (result of ipa-client-install) and LDAP auth (added settings in sssd.conf) at the same time for the same domain? Will it work together or will I've to choose on of the two?<br><br>Thank you!<br><br>Regards,<br><br>A.<br></div>