<div dir="ltr"><div><div>Hi Alexander, <br><br><br></div><div>Currently;<br><br>FreeIPA 7.1 (Centos)<br></div><div>Client 6.6 (Centos)<br></div><div>NFS 6.6 (Centos) + Samba 3.6<br><br></div><div>I have also samba file sharing running on NFS server which shares home directories to windows users as well. So NFS server is joined to windows domain as well as FreeIPA domain. <br><br><br></div><b>FreeIPA Server Automount Conf:</b><br><br>/etc/auto.master:<br>/-    /etc/auto.direct<br>/home    /etc/auto.home<br>---------------------------<br>/etc/auto.direct:<br>---------------------------<br>/etc/auto.home:<br>*    -rw,no_subtree_check,crossmnt,sec=krb5i itifs01.itiad.my.ca:/samba/homes/&<br><br>maps not connected to /etc/auto.master:<br><br><br><br><br><b>NFS Server Krb5.conf:</b><br><br>includedir /var/lib/sss/pubconf/krb5.include.d/<br><br>[libdefaults]<br>  default_realm = <a href="http://FREEIPA.MY.CA">FREEIPA.MY.CA</a><br>  dns_lookup_realm = true<br>  dns_lookup_kdc = true<br>  rdns = false<br>  ticket_lifetime = 24h<br>  forwardable = yes<br><br>[realms]<br>  <a href="http://FREEIPA.MY.CA">FREEIPA.MY.CA</a> = {<br>    pkinit_anchors = FILE:/etc/ipa/ca.crt<br>  }<br><br>[domain_realm]<br>  .<a href="http://FREEIPA.MY.CA">FREEIPA.MY.CA</a> = <a href="http://FREEIPA.MY.CA">FREEIPA.MY.CA</a><br>  <a href="http://FREEIPA.MY.CA">FREEIPA.MY.CA</a> = <a href="http://FREEIPA.MY.CA">FREEIPA.MY.CA</a><br>  .<a href="http://itiad.my.ca">itiad.my.ca</a> = <a href="http://FREEIPA.MY.CA">FREEIPA.MY.CA</a><br>  <a href="http://itiad.my.ca">itiad.my.ca</a> = <a href="http://FREEIPA.MY.CA">FREEIPA.MY.CA</a><br><br><br><br><b>NFS Server sssd.conf:</b><br><br>cache_credentials = True<br>krb5_store_password_if_offline = True<br>ipa_domain = <a href="http://FREEIPA.my.CA">FREEIPA.my.CA</a><br>id_provider = ipa<br>auth_provider = ipa<br>access_provider = ipa<br>ldap_tls_cacert = /etc/ipa/ca.crt<br>ipa_hostname = <a href="http://itifs01.itiad.my.ca">itifs01.itiad.my.ca</a><br>chpass_provider = ipa<br>ipa_dyndns_update = True<br>ipa_server = _srv_, <a href="http://server.freeipa.my.ca">server.freeipa.my.ca</a><br>dns_discovery_domain = <a href="http://FREEIPA.my.CA">FREEIPA.my.CA</a><br>[sssd]<br>services = nss, sudo, pam, ssh<br>config_file_version = 2<br><br>domains = <a href="http://FREEIPA.MY.CA">FREEIPA.MY.CA</a><br>[nss]<br>homedir_substring = /home<br><br>[pam]<br><br>[sudo]<br><br>[autofs]<br><br>[ssh]<br><br>[pac]<br><br>[ifp]<br><br><br><br><b>Client Krb5.conf:</b><br><br>includedir /var/lib/sss/pubconf/krb5.include.d/<br><br>[libdefaults]<br>  default_realm = <a href="http://FREEIPA.MY.CA">FREEIPA.MY.CA</a><br>  dns_lookup_realm = true<br>  dns_lookup_kdc = true<br>  rdns = false<br>  ticket_lifetime = 24h<br>  forwardable = yes<br><br>[realms]<br>  <a href="http://FREEIPA.MY.CA">FREEIPA.MY.CA</a> = {<br>    pkinit_anchors = FILE:/etc/ipa/ca.crt<br>  }<br><br>[domain_realm]<br>  .<a href="http://freeipa.my.ca">freeipa.my.ca</a> = <a href="http://FREEIPA.MY.CA">FREEIPA.MY.CA</a><br>  <a href="http://freeipa.my.ca">freeipa.my.ca</a> = <a href="http://FREEIPA.MY.CA">FREEIPA.MY.CA</a><br><br><br><b>Client SSSD.conf:</b><br><br>cache_credentials = True<br>krb5_store_password_if_offline = True<br>ipa_domain = <a href="http://freeipa.my.ca">freeipa.my.ca</a><br>id_provider = ipa<br>auth_provider = ipa<br>access_provider = ipa<br>ipa_hostname = <a href="http://client2.freeipa.my.ca">client2.freeipa.my.ca</a><br>chpass_provider = ipa<br>ipa_server = _srv_, <a href="http://server.freeipa.my.ca">server.freeipa.my.ca</a><br>ldap_tls_cacert = /etc/ipa/ca.crt<br>autofs_provider = ipa<br>ipa_automount_location = default<br>[sssd]<br>default_domain_suffix = <a href="http://itiad.my.ca">itiad.my.ca</a><br>services = nss, sudo, pam, autofs, ssh<br>config_file_version = 2<br>domains = <a href="http://freeipa.my.ca">freeipa.my.ca</a><br>[nss]<br>homedir_substring = /home<br><br>[pam]<br><br>[sudo]<br><br>[autofs]<br><br>[ssh]<br><br>[pac]<br><br>[ifp]<br><br><br><br></div>Thanks,<br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On 29 September 2015 at 10:47, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Tue, 29 Sep 2015, Sadettin Albasan wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I have a freeipa server and a trust relation with AD domain with almost<br>
everything working the way I planned except automounting NFS home<br>
directories for domain users. I have been reading about this on the net for<br>
almost a week, ended up trying a lot of different configurations, but I had<br>
no success to it. The closest I came to was removing krb5 authentication<br>
from the export and mount options. it is only then able to mount the<br>
directories. Since I have not seen any official guidelines  about it, is<br>
this in works or any plan to implement? Thanks.<br>
</blockquote></div></div>
As usual, more details are required about server and client<br>
configuration/software in order to even guess your problems.<br>
<br>
What provides NFS storage? What is used on the client machines? How<br>
identity mapping is configured. Give examples of your configuration.<br>
<br>
There are some issues in NFS identity mapping code that were fixed<br>
relatively recently and which prevented use of POSIX users with '@' in<br>
the name, for example.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>