Thanks Alexander for the prompt reply.<div>Appreciated.<br><div><br></div><div>Now i am wondering how likewise is able to do this stuff under the hood for me.</div><div><br></div><div>I have similar setup with likewise and same one way incoming trust relationships towards my primary domain (dom1) from another external domain (dom2).</div><div><br></div>And i am able to login to my client machines using user accounts created in dom1 and dom2.</div><div>Magic<br><div>Any thoughts ></div><div><div><br>On Wednesday, 2 March 2016, Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com">abokovoy@redhat.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Wed, 02 Mar 2016, PARTH MONGA wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi List Members,<br>
<br>
I have a situation I am having a hard time getting a clean answer on.<br>
<br>
I have a IDM/IPA domain setup and I have a trust setup with my Windows<br>
domain. That part is working perfectly.<br>
<br>
I have a one way forest transitive trust (outgoing) with a second windows<br>
domain. I want users in this second domain to be able to authenticate to my<br>
IDM/IPA domain. I was hoping that this would be possible through my<br>
transitive trust with my primary windows domain.<br>
</blockquote>
No, that's not possible by AD architecture.<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
When I issue the command ipa trust-fetch-domains for my primary domain I<br>
get the response no new domains found. The second domain is never found.<br>
</blockquote>
That's correct.<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Here is my question. Is this even possible without creating a trust with<br>
the second domain directly? The documentation states that IPA will traverse<br>
all trusts and add them. However I am starting to believe that reference is<br>
for domains in only one forest. Can anyone clear up that point for me?<br>
</blockquote>
The documentation is correct, you can have multiple trusts to separate<br>
forests and domains from all of them will be usable via trust to IPA.<br>
However, we cannot access any domains from forests that AD forest trusts<br>
itself because while forest trust is transitive, the transition is only<br>
extends to domains within the forests that trust each other, there is no<br>
transitivity across forest trusts.<br>
<br>
If forest A's root domain A trusts forest B's root domain B, and forest<br>
B's root domain B trusts forest C's root domain C, then A only can<br>
transit to domains in forest B, not forest C.<br>
<br>
See <a href="https://msdn.microsoft.com/en-us/library/cc773178%28v=ws.10%29.aspx" target="_blank">https://msdn.microsoft.com/en-us/library/cc773178%28v=ws.10%29.aspx</a>,<br>
search for the section named "Forest trusts":<br>
---------<br>
Forest trusts can be created between two forests only and cannot be<br>
implicitly extended to a third forest. ---------<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</blockquote></div></div></div>