<html><body><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000"><div data-marker="__QUOTED_TEXT__">Hi,</div><div data-marker="__QUOTED_TEXT__"><br data-mce-bogus="1"></div><div data-marker="__QUOTED_TEXT__"> thank you for the answers. May be I am doing something wrong. </div><div data-marker="__QUOTED_TEXT__"><br data-mce-bogus="1"></div><div data-marker="__QUOTED_TEXT__">1. AD attributes - I am using the standard set of user's attributes in AD - I did not extend the AD schema (2012 R2)</div><div data-marker="__QUOTED_TEXT__">I am using set of attributes defined in RFS2307:</div><div data-marker="__QUOTED_TEXT__"><pre class="newpage"><span data-mce-style="font-family: arial,helvetica,sans-serif;" style="font-family: arial,helvetica,sans-serif;">uidNumber
gidNumber
gecos
homeDirectory
loginShell</span>
<br><span data-mce-style="font-family: arial,helvetica,sans-serif;" style="font-family: arial,helvetica,sans-serif;">I am having troubles to find in documentation the names of attributes which IPA is able to read from AD</span>. <span data-mce-style="font-family: arial,helvetica,sans-serif;" style="font-family: arial,helvetica,sans-serif;">Could you please clarify if this is OK ?<br>Could you please point me to some doc ...? I have read the Windows integration guide, but there was not enough details ...</span><br><br>2. <span data-mce-style="font-family: arial,helvetica,sans-serif;" style="font-family: arial,helvetica,sans-serif;">Do I need to fill in user's attributes values before the trust is set up ? </span><br><span data-mce-style="font-family: arial,helvetica,sans-serif;" style="font-family: arial,helvetica,sans-serif;"><br>3.  If using Idviews in this case I would have to somehow copy information stored in AD into id views a keep them updated, which is huge overhead when you have hundreds or thousands users. That is why I need to read them directly from AD.<br><br>4. Is it possible to change the already established trust  -without --range-type=ipa-ad-trust-posix to trust with POSIX range ? I mean without breaking the trust and reestablishing new one ?<br>
Thanks a lot,<br>Jan <br>          </span></pre><br><br><br><br>On Tue, Jun 21, 2016 at 01:55:54PM +0200, Jan Kar?sek wrote:<br>> Hi all, <br>> <br>> I have a questions about IPA with AD forest trust. What I am trying to do is setup environment, where all informations about users are stored in one place - AD. I would like to read at least uid, home, shell and sshkey from AD. <br>> <br>> I have set up trust with this parameters: <br>> <br>> ipa trust-add EXAMPLE.TT --type=ad --range-type=ipa-ad-trust-posix --admin=administrator <br><br>Did you add the POSIX attributes to AD after creating the trust maybe?<br><br>> <br>> [root@ipa1 ~]# ipa idrange-show EXAMPLE.TT_id_range <br>> Range name: EXAMPLE.TT_id_range <br>> First Posix ID of the range: 1392000000 <br>> Number of IDs in the range: 200000 <br>> Domain SID of the trusted domain: S-1-5-21-4123312533-990676102-3576722756 <br>> Range type: Active Directory trust range with POSIX attributes <br>> <br>> <br>> I have set attributes in AD for user@EXAMPLE.TT <br>> - uidNumber -10000 <br>> - homeDirectory -/home/user <br>> - loginShell - /bin/bash <br>> <br>> Trust itself works fine. I can do kinit with user@EXAMPLE.TT , I can run id and getent passwd user@example.tt and I can use user@example.tt for ssh. <br>> <br>> Problem is, that I am not getting uid from AD but from idrange: <br>> <br>> uid=1392001107(user@example.tt) <br>> <br>> Also I have tried to switch off id mapping in sssd.conf with ldap_id_mapping = true in sssd.conf but no luck. <br><br>This has no effect, in IPA-AD trust scenario, the id mapping properties<br>are managed on the server.<br><br>> <br>> I know, that it is probably better to use ID views for this, but in our case we need to set centrally managed environment, where all users information are externally inserted to AD from HR system - included POSIX attributes and we need IPA to read them from AD. <br><br>I think idviews are better for overriding POSIX attributes for a<br>specific set of hosts, but in your environment, it sounds like you want<br>to use the POSIX attributes across the board.<br><br>> <br>> So my questions are: <br>> <br>> Is it possible to read user's POSIX attributes directly from AD - namely uid ? <br><br>Yes<br><br>> Which atributes can be stored in AD ? <br><br>Homedir is a bit special, for backwards compatibility the<br>subdomains_homedir takes precedence. The others should be read from AD.<br><br>I don't have the environment set at the moment, though, so I'm operating<br>purely from memory.<br><br>> Am I doing something wrong ? <br>> <br>> my sssd.conf: <br>> [domain/a.example.tt] <br>> debug_level = 5 <br>> cache_credentials = True <br>> krb5_store_password_if_offline = True <br>> ipa_domain = a.example.tt <br>> id_provider = ipa <br>> auth_provider = ipa <br>> access_provider = ipa <br>> ipa_hostname = ipa1.a.example.tt <br>> chpass_provider = ipa <br>> ipa_server = ipa1.a.example.tt <br>> ipa_server_mode = True <br>> ldap_tls_cacert = /etc/ipa/ca.crt <br>> #ldap_id_mapping = true <br>> #subdomain_inherit = ldap_user_principal <br>> #ldap_user_principal = nosuchattribute <br>> <br>> [sssd] <br>> services = nss, sudo, pam, ssh <br>> config_file_version = 2 <br>> <br>> domains = a.example.tt <br>> [nss] <br>> debug_level = 5 <br>> homedir_substring = /home <br>> enum_cache_timeout = 2 <br>> entry_negative_timeout = 2 <br>> <br>> <br>> [pam] <br>> debug_level = 5 <br>> [sudo] <br>> <br>> [autofs] <br>> <br>> [ssh] <br>> debug_level = 4 <br>> [pac] <br>> <br>> debug_level = 4 <br>> [ifp] <br>> <br>> Thanks, <br>> Jan <br><br><br></div></div></body></html>