<div dir="ltr">Hi Everybody,<div><br></div><div>We are trying to create sync between Windows 2012 r2 AD and FreeIPA 4.2.0 (CentOS 7) and we run into an issue. </div><div><br></div><div>We are following this documentation:</div><div><a href="https://docs.fedoraproject.org/en-US/Fedora/18/html/FreeIPA_Guide/active-directory.html">https://docs.fedoraproject.org/en-US/Fedora/18/html/FreeIPA_Guide/active-directory.html</a><br></div><div><br></div><div>I know it is a little bit old and now the preferred method is trust and not sync. But if my understanding is correct in trust you has to use 2 different domain like <a href="http://company.net">company.net</a> <--> <a href="http://company.com">company.com</a> and can not be user as <a href="http://company.com">company.com</a> <--> <a href="http://company.com">company.com</a></div><div><br></div><div>So anyway we are struggling with the full sync. Currently username sync is working, but their password are not. </div><div><br></div><div>Replication was specified:</div><div><div>ipa-replica-manage connect --winsync --binddn cn=Syncadmin,cn=users,dc=company,dc=com --bindpw ad_password --passsync syncpassword --cacert /etc/openldap/certs/company.cer  <a href="http://companypdc.company.com">companypdc.company.com</a></div></div><div><br></div><div><br></div><div>On the Windows we installed and configured 389-PassSync-1.1.5-x86_64 and it was configured as a following:</div><div><br></div><div>Hostname: name_of_centos_server</div><div>Password: syncpassword</div><div>Password field: userpassword</div><div>Port Number: 636</div><div>Search base cn=users,cn=compat,dc=company,dc=com</div><div>User Name uid/passync,cn=sysaccounts,cn=etc,dc=company,dc=com</div><div>User Name Field: ntuserdomainid</div><div><br></div><div><br></div><div>Log from passwordsync on windows:</div><div><div>03/04/16 16:45:07: Attempting to sync password for test.user</div><div>03/04/16 16:45:07: Searching for (ntuserdomainid=test.user)</div><div>03/04/16 16:45:07: There are no entries that match: test.user</div><div>03/04/16 16:45:07: Deferring password change for test.user</div><div>03/04/16 16:45:07: Backing off for 1024000ms</div></div><div><br></div><div><br></div><div>Trying user on CentOS:</div><div><div>kinit test.user -V</div><div>Using new cache: persistent:0:krb_ccache_wyIa8Nj</div><div>Using principal: <a href="mailto:test.user@COMPANY.COM">test.user@COMPANY.COM</a></div><div>kinit: Generic preauthentication failure while getting initial credentials</div></div><div><br></div><div>log from /var/log/dirsrv/slapd-COMPANY-COM/access</div><div><div><br></div><div><div>[04/Mar/2016:17:10:08 +0000] conn=4 op=677 SRCH base="dc=jighi,dc=com" scope=2 filter="(&(|(objectClass=krbprincipalaux)(objectClass=krbprincipal))(krbPrincipalName=<a href="mailto:test.user@JIGHI.COM">test.user@JIGHI.COM</a>))" attrs="krbPrincipalName krbCanonicalName ipaKrbPrincipalAlias krbUPEnabled krbPrincipalKey krbTicketPolicyReference krbPrincipalExpiration krbPasswordExpiration krbPwdPolicyReference krbPrincipalType krbPwdHistory krbLastPwdChange krbPrincipalAliases krbLastSuccessfulAuth krbLastFailedAuth krbLoginFailedCount krbExtraData krbLastAdminUnlock krbObjectReferences krbTicketFlags krbMaxTicketLife krbMaxRenewableAge nsAccountLock passwordHistory ipaKrbAuthzData ipaUserAuthType ipatokenRadiusConfigLink objectClass"</div><div>[04/Mar/2016:17:10:08 +0000] conn=4 op=677 RESULT err=0 tag=101 nentries=1 etime=0</div><div>[04/Mar/2016:17:10:08 +0000] conn=4 op=678 SRCH base="cn=<a href="http://JIGHI.COM">JIGHI.COM</a>,cn=kerberos,dc=jighi,dc=com" scope=0 filter="(objectClass=krbticketpolicyaux)" attrs="krbMaxTicketLife krbMaxRenewableAge krbTicketFlags"</div><div>[04/Mar/2016:17:10:08 +0000] conn=4 op=678 RESULT err=0 tag=101 nentries=1 etime=0</div></div></div><div><br></div><div>Can somebody help in what we are missing?</div><div><br></div><div>Regards,</div><div>Csaba Patyi</div></div>