<div dir="ltr"><div><div><div><div><div><div><div>Hola,<br><br></div>We successfully installed ipa-server, and then successfully joined an AD in a one way trust.<br></div><div>All in IPA are Centos 7.2 latest updates.<br></div><div><br></div>I can successfully get info from AD by using: $id username on the server.<br><br></div>I can successfully *join* the new ipa server with a client using ipa-client-install. (both on stdout and /var/log/ipaclient-install look good).<br><br></div>I have followed these instructions to add an external mapped group, an internal group and a HBAC.<br></div></div><br><a href="http://www.freeipa.org/page/Active_Directory_trust_setup">http://www.freeipa.org/page/Active_Directory_trust_setup</a><br><br><br>But, for some reason I can't then login to that client using AD credentials. <br><br></div>In fact, on the client in question, all indicators are that the username being used is "unknown". I see little to nothing in /var/log/sssd/*, a few lines, late, in /var/log/dirsrv/slapd..../. Most of the live logging of auth seems to be in /var/log/secure.<br><div><br><div><div><div><div>My feeling is that the client successfully joins, but then isn't using sssd as it's authentication system.<br><br></div><div>Where should I start looking? The logs aren't showing me anything of note.<br></div><div>What should I test? How can I test?<br><br></div><div>I have had this working previously on a test domain, but it's hard to know what I've done differently due to time and how long it took to get it working last time. <br><br></div><div>Cheers<br></div><div>L.<br></div><div><br><br></div><div><br><br clear="all"><div><div><div><div><div class="gmail_signature"><div dir="ltr"><div>------<br>The most dangerous phrase in the language is, "We've always done it this way."<br><br>- Grace Hopper<br></div></div></div></div>
</div></div></div></div></div></div></div></div></div>