<div>Hi, Petr</div><div><br></div><div>Thanks for your quickly reply.</div><div><br></div><div>I want to integrated linux servers with existed AD, centralized manage HBAC/Sudo rules. </div><div><br></div><div>So i have setup a standalone IPA server with domain 'example.net', trying to sync users from existed AD to it with following cmd:</div><div><br></div><div><span id="docs-internal-guid-cb1796e1-5d7b-2aa0-fecc-9b7764bf21c5"><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt;"><span style="font-size: 14.6667px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;">ipa-replica-manage connect --winsync --binddn="cn=ipa,cn=users,dc=examplemedia,dc=net" --bindpw='XXXX' --passsync='XXXX' --cacert='/etc/openldap/cacerts/ipaad.cer' --win-subtree='ou=users,dc=examplemedia,dc=net' -v ipaad.examplemedia.net</span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt;"><span style="font-size: 14.6667px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;"><br></span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt;"><span style="font-size: 14.6667px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;">After it has been successfully established, users in AD did not sync to IPA. </span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt;"><span style="font-size: 14.6667px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;"><br></span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt;"><span style="font-size: 14.6667px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;">For 'trusts' integration method, since user did not sync to IPA at all, how to set sudo/HBAC rules for users? I have not tried it. </span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt;"><span style="font-size: 14.6667px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;"><br></span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt;"><span style="font-size: 14.6667px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;">Matrix</span></p><div><span style="font-size: 14.6667px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;"><br></span></div></span></div><div><div><br></div><div><br></div><div style="font-size: 12px;font-family: Arial Narrow;padding:2px 0 2px 0;">------------------ Original ------------------</div><div style="font-size: 12px;background:#efefef;padding:8px;"><div><b>From: </b> "Petr Vobornik";<pvoborni@redhat.com>;</div><div><b>Date: </b> Thu, Apr 28, 2016 11:21 PM</div><div><b>To: </b> "Matrix"<matrix.zj@qq.com>; "freeipa-users"<freeipa-users@redhat.com>; <wbr></div><div></div><div><b>Subject: </b> Re: [Freeipa-users] is it possible to use 'ipa-replica' to sync userbetween different suffix AD and IPA domain?</div></div><div><br></div>On 04/28/2016 04:44 PM, Matrix wrote:<br>> Hi, all<br>> <br>> I am trying to do a centrelized solution<br>> <br>> AD domain is 'examplemedia.net'<br>> <br>> IPA domain is 'example.net'<br>> <br>> After ipa-replica has been established, i found that nothing has been synced <br>> from AD to IPA.<br>> <br>> IPA version: ipa-server-4.2.0-15.0.1.el7.centos.6.1.x86_64<br>> <br>> I doubt that for different suffix is supported ?  If so, anyone can show some <br>> hint for me to investigate more?<br>> <br>> Thanks for your kindly help.<br>> <br>> Matrix<br><br>Hello,<br><br>what is your goal and current setup?<br><br>By "ipa-replica has been established" do you mean that you installed a<br>new currently standalone IPA server? And connected it somehow with AD?<br><br>Or did you run `ipa-replica-manage connect --winsync ...`<br><br>It would be good to mention that IPA server[1] cannot be a replica of an<br>AD server. But it can integrate with it. Either by using<br>winsync(synchronization) or the recommended solution: Trusts [2].<br><br>Documentation:<br>[1]<br>https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html<br>[2]<br>https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Windows_Integration_Guide/pt02.html<br><br>HTH<br>-- <br>Petr Vobornik</div>