<div dir="ltr"><div>Hi Chris,</div><div><br></div>This may come from the ipa attributes added by adtrust on user/group classes.<div>For example in 4.1.4: FreeIPA will add on each user the attribute (for ipasam.so usage):</div><div><br></div><div>  ipaNTSecurityIdentifier: S-1-5-**-*******<br></div><div><br></div><div>when standard samba attributes known by samba with ldapsam.so are:</div><div><br></div><div>  sambaSID: S-1-5-**-*******</div><div><br></div><div>I guess as the OID must be different, your CIFS will not recognise the attribute and won't be able to use it.</div><div>I also guess it is the same for the password hash that may not be using the right algorithm.</div><div><br></div><div>You can check this directly in your IPA 365directory tree, and with dirsrv logfiles.</div><div>I suppose you would see FreeNAS trying to search for specific attributes in user objects that don't exist.</div><div><br></div><div>These informations are based on deduction but I'm not confident enough to assure you this is a fact :)</div><div><br></div><div><br></div><div class="gmail_extra"><br clear="all"><div><div><font face="arial, helvetica, sans-serif"><div><span style="font-family:arial"><font face="arial, helvetica, sans-serif"><div>--</div><div><font color="#666666">Youenn Piolet</font></div><div><font size="1" color="#999999"><a href="mailto:piolet.y@gmail.com" target="_blank">piolet.y@gmail.com</a></font></div><div style="font-size:large"><span style="font-size:small"><span style="font-family:arial"><div><font face="tahoma, sans-serif"><span style="font-family:arial,verdana,tahoma,sans-serif;font-size:11px"><span style="font-family:tahoma,sans-serif;font-size:small"><font color="#666666"><span style="color:rgb(142,142,142);font-family:arial,verdana,tahoma,sans-serif;font-size:11px"><em><br></em></span></font></span></span></font></div><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font></span><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font></span></div></font></span></div></font></div></div>
<br><div class="gmail_quote">2015-10-17 16:47 GMT+02:00 Chris Tobey <span dir="ltr"><<a href="mailto:tobeychris@hotmail.com" target="_blank">tobeychris@hotmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-CA" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Hi Youenn,<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Thank you for the response.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I am sure the issue is related to the samba attributes not existing, but I am not fully clear on how to fix it.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I was trying to find out the correct steps on a CentOS system, and I think it is something like:<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">>yum remove samba-common<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">>yum install samba4<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">>yum install ipa-server-trust-ad<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">>ipa-adtrust-install<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I thought the ipa-adtrust-install was supposed to add the samba attributes, but for some reason it still does not work.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Does anyone have any insight in what steps I might have missed?<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Thanks,<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">-Chris<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Youenn PIOLET [mailto:<a href="mailto:piolet.y@gmail.com" target="_blank">piolet.y@gmail.com</a>] <br><b>Sent:</b> October-11-15 6:49 PM<br><b>To:</b> Chris Tobey<br><b>Cc:</b> <a href="mailto:freeipa-users@redhat.com" target="_blank">freeipa-users@redhat.com</a>; Matt .<br><b>Subject:</b> Re: [Freeipa-users] FreeNAS Authenticating Againts FreeIPA<u></u><u></u></span></p><span><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">Sorry for the double post.<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">I forgot to say that my speech is about newest versions of FreeIPA.<u></u><u></u></p></div><div><p class="MsoNormal">Maybe someone here knows something about IPA 3.0 ?<u></u><u></u></p></div><div><p class="MsoNormal">I'm not sure it used to work with ipasam module. But I suppose the problem is the same: you need to generate Samba schema values for your IPA users in the directory.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Cheers,<u></u><u></u></p></div></div></span><div><p class="MsoNormal"><br clear="all"><u></u><u></u></p><div><div><div><div><p class="MsoNormal"><span style="font-family:"Arial","sans-serif"">--<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Arial","sans-serif";color:#666666">Youenn Piolet</span><span style="font-family:"Arial","sans-serif""><u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:7.5pt;font-family:"Arial","sans-serif";color:#999999"><a href="mailto:piolet.y@gmail.com" target="_blank">piolet.y@gmail.com</a></span><span style="font-family:"Arial","sans-serif""><u></u><u></u></span></p></div><div><div><p class="MsoNormal"><span style="font-family:"Arial","sans-serif""><u></u> <u></u></span></p></div></div></div></div></div><p class="MsoNormal"><u></u> <u></u></p><div><span><p class="MsoNormal">2015-10-12 0:41 GMT+02:00 Youenn PIOLET <<a href="mailto:piolet.y@gmail.com" target="_blank">piolet.y@gmail.com</a>>:<u></u><u></u></p></span><div><div><div><p class="MsoNormal">Hi Chris,<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">First, to be sure were on the same page:<u></u><u></u></p></div><div><p class="MsoNormal">Without IPA, to make CIFS users authenticate against directory in a classic LDAP implementation, you need to extend your LDAP tree with Samba schema. The FreeNAS documentation is a bit light on this subjet and previous FreeNAS versions (stable 9.3 included) used to mess up rfc2307bis/rfc2307. I think it is fixed now, and know nothing about your 9.2 version. Wrote some messy stuff about it here: <a href="https://github.com/uZer/rootools/blob/master/ldap/integrations/ldap.integration.freenas.md" target="_blank">https://github.com/uZer/rootools/blob/master/ldap/integrations/ldap.integration.freenas.md</a><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">To make CIFS users authenticate or FreeIPA recent versions (I only tried with 4.1), I suggest you to start by reading some of our investigations in this thread:<u></u><u></u></p></div><div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">[Freeipa-users] Ubuntu Samba Server Auth against IPA<u></u><u></u></p></div><div><p class="MsoNormal"><a href="https://www.redhat.com/archives/freeipa-users/2015-August/thread.html#00000" target="_blank">https://www.redhat.com/archives/freeipa-users/2015-August/thread.html#00000</a><u></u><u></u></p></div></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">When we discuss about this in august, I've spend almost a week trying to make this integration with FreeNAS/FreeIPA work. I quit FreeNAS without fully understand why it didn't work, and moved our CIFS to a dedicated Centos server. Matt arrived with a similar situation in Ubuntu.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">To quickly summarize the issue, FreeNAS and Ubuntu CIFS work by default with ldapsam.so module. FreeIPA developpers have built a AD trust exchange possibility with a custom ipasam module that isn't compiled yet for Ubuntu or FreeNAS. This module gives the possibility to use IPA AD trust components (e.g. special schema in IPA's directory managing user/group NT SID)<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">If you can't compile the module for FreeNAS / FreeBSD, you may need to extend 365directory with Samba schema.<u></u><u></u></p></div><div><p class="MsoNormal">You will need to find a way to generate the new attributes when adding users or groups in FreeIPA, and a way to store password in a CIFS/NT understandable way. I don't suggest you to follow this dark path.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">You can also quit FreeNAS and migrate to CentOS with ipasam as I did ;)<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Good luck in your experimentations, I hope you will succeed!<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><br clear="all"><u></u><u></u></p><div><div><div><div><p class="MsoNormal"><span style="font-family:"Arial","sans-serif"">--<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Arial","sans-serif";color:#666666">Youenn Piolet</span><span style="font-family:"Arial","sans-serif""><u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:7.5pt;font-family:"Arial","sans-serif";color:#999999"><a href="mailto:piolet.y@gmail.com" target="_blank">piolet.y@gmail.com</a></span><span style="font-family:"Arial","sans-serif""><u></u><u></u></span></p></div><div><div><p class="MsoNormal"><span style="font-family:"Arial","sans-serif""><u></u> <u></u></span></p></div></div></div></div></div><p class="MsoNormal"><u></u> <u></u></p><div><div><div><p class="MsoNormal">2015-10-11 2:06 GMT+02:00 Chris Tobey <<a href="mailto:tobeychris@hotmail.com" target="_blank">tobeychris@hotmail.com</a>>:<u></u><u></u></p></div></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm"><div><div><div><div><p class="MsoNormal">Hi Everyone,<u></u><u></u></p><p class="MsoNormal"><br>I have a functioning FreeIPA server that manages all my users and I would like to also use it for my FreeNAS CIFS shares to authenticate against.<br><br>Does anyone know what needs to be run on both servers to get this working? I believe it has something to do with Samba properties on the FreeIPA side.<u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal">I had tried asking the FreeNAS forums but they were of no help (<a href="https://forums.freenas.org/index.php?threads/freeipa-and-freenas-ldap-setup.37083/" target="_blank">https://forums.freenas.org/index.php?threads/freeipa-and-freenas-ldap-setup.37083/</a>).<u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal">I have seen similar requests and success stories, but no actual steps on how to do it.<br><br>Info: <br>FreeIPA v3.0.0-42 running on CentOS 6.6.<br>FreeNAS 9.2.1.9 (can use 9.3 if easier, was trying to get it working before dealing with certs).<u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal">Any help is appreciated.<u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal">Thanks,<u></u><u></u></p><p class="MsoNormal">-Chris<u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p></div></div><p class="MsoNormal"><u></u> <u></u></p></div></div><p class="MsoNormal"><span><span style="color:#888888">--</span></span><span style="color:#888888"><br><span>Manage your subscription for the Freeipa-users mailing list:</span><br><span><a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a></span><br><span>Go to <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project</span></span><u></u><u></u></p></blockquote></div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></div></div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></blockquote></div><br></div></div>