<div dir="ltr">Excellent,<div><br><div>Thank you for the quick response. </div><div>I will look further into your suggestions</div><div><br></div><div>Aly</div><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Sep 23, 2015 at 3:50 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, 23 Sep 2015, Aly Khimji wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hey guys,<br>
<br>
Quick question. Just running through a poc and ran into a question.<br>
<br>
I have a simple AD DC (win2k8r2 box) with a trust setup to our IPA server.<br>
Trust and all is setup properly and I can see users on the client/ipa<br>
server and on the ipa server I can ssh into it with the AD user.<br>
<br>
I am finding that users are unable to log into the "client nodes" and are<br>
getting a "4: System Error" failure in the ssh log. When I dig into the<br>
sssd in debug mode I can see its failing to find KDC for the "realm". Makes<br>
sense so far. So I enable dns_lookup_kdc = true and now it is able to find<br>
the realm and login is successful.<br>
</blockquote></span>
Correct.<span class=""><br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
My question is, this "dns_lookup_kdc = true" required in any setup with<br>
AD/IPA trust + ssh into IPA client with AD users?<br>
</blockquote></span>
Yes, in currently released versions you have to have that in the<br>
krb5.conf.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I am wondering as there may be a use case where the AD server is in another<br>
network and IPA clients won't have direct access to AD. I was wondering if<br>
there is any model in which the client only ever talks to IPA server and<br>
all the AD/Kerbos communication is handled via the IPA server and if so how<br>
is this done?<br>
</blockquote></span>
Yes, there is a way to do so with FreeIPA 4.2, by using KDC proxy<br>
functionality.<br>
<br>
You can enable KDC proxy on IPA master and make sure to set manually on<br>
each client a 'kdc' property for each AD realm to point to<br>
<a href="https://ipa.master/KDCProxy" rel="noreferrer" target="_blank">https://ipa.master/KDCProxy</a>. Then on the IPA master itself have explicit<br>
define in krb5.conf for AD realms pointing to proper AD DCs for 'kdc'<br>
property. <br>
With this setup you would have all Kerberos traffic (same can be done<br>
with kadmin protocol too, I think) redirected via IPA masters to AD DCs.<br>
<br>
You need to have fairly recent MIT Kerberos library for that, though.<br>
RHEL7 should be OK. I haven't checked latest MIT krb5 backports in<br>
RHEL6, though.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I have read a bit and this looks as though what I am doing here is a<br>
"legacy" setup. Just wondering if this is different in sssd 1.9 or if kdc =<br>
True is always required.<br>
<br>
I am not doing anything extra on the client other then the ipa-client<br>
install.<br>
No manual adjustment of sssd.conf or krb5.conf. If I am missing something<br>
please advise.<br>
</blockquote></span>
ipa-client-install sets 'dns_lookup_kdc = true' by default if your DNS<br>
discovery of KDC was successful and no '--force' option was specified.<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>