<div dir="ltr"><div><span style="color:rgb(0,0,0)">Hi,</span></div><div><span style="color:rgb(0,0,0)"><br></span></div><div><span style="color:rgb(0,0,0)">ipa-adtrust-install populates the ipaNTHash in LDAP for each user/group, but you still need a samba backend to read these new attributes.</span></div><div><span style="color:rgb(0,0,0)">Do you use ipasam.so ?</span></div><div><span style="color:rgb(0,0,0)">If you don't, you should recompile your version of FreeIPA, move ipasam.so to your password backend directory containing other .so files, and put this in your smb.conf :</span></div><div><pre style="color:rgb(0,0,0)">passdb backend = ldapsam:ldap//ipaserver</pre></div><div><span style="color:rgb(0,0,0)"><br></span></div><div><span style="color:rgb(0,0,0)">Procedure / best practices may have change now, if anyone from redhat is around to confirm... </span></div><div><span style="color:rgb(0,0,0)">I just can tell it's working with any Centos 7 and FreeIPA > 4.1.4 server.</span></div><div class="gmail_extra"><br></div><div class="gmail_extra"><div><div class="m_-8136908149918688062gmail_signature" data-smartmail="gmail_signature"><font face="arial, helvetica, sans-serif"><div><span style="font-family:arial"><font face="arial, helvetica, sans-serif"><div>--</div><div><font color="#666666">Youenn Piolet</font></div><div><font size="1" color="#999999"><a href="mailto:piolet.y@gmail.com" target="_blank">piolet.y@gmail.com</a></font></div><div style="font-size:large"><span style="font-size:small"><span style="font-family:arial"><div><font face="tahoma, sans-serif"><span style="font-family:arial,verdana,tahoma,sans-serif;font-size:11px"><span style="font-family:tahoma,sans-serif;font-size:small"><font color="#666666"><span style="color:rgb(142,142,142);font-family:arial,verdana,tahoma,sans-serif;font-size:11px"><em><br></em></span></font></span></span></font></div><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font></span><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font></span></div></font></span></div></font></div></div>
<br><div class="gmail_quote">2017-01-13 19:33 GMT+01:00 Armaan Esfahani <span dir="ltr"><<a href="mailto:armaan.esfahani@advancedopen.com" target="_blank">armaan.esfahani@advancedopen.<wbr>com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="white" lang="EN-US" link="#0563C1" vlink="#954F72"><div class="m_-8136908149918688062m_-6722252880772757711WordSection1"><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">Upon running the ldapmodify command, I receive an “ldap_bind: No such object (32)” error, any suggesions?<u></u><u></u></p><span><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText"><u></u> <u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">On 1/13/17, 8:37 AM, "Sumit Bose" <<a href="mailto:freeipa-users-bounces@redhat.com" target="_blank">freeipa-users-bounces@redhat.<wbr>com</a> on behalf of <a href="mailto:sbose@redhat.com" target="_blank">sbose@redhat.com</a>> wrote:<u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText"><u></u> <u></u></p></span><div><div class="m_-8136908149918688062h5"><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    On Wed, Jan 11, 2017 at 04:00:57PM -0500, Armaan Esfahani wrote:<u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    > Hi, I have setup a Samba server to use FreeIPA as a password backend, however whenever I try to use existing users to login I get “NT_STATUS_LOGON_FAILURE”. <u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    > <u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    > Looking at the sssd_nss log on my ipa server, I get the following error “(Wed Jan 11 15:56:11 2017) [sssd[nss]] [fill_sid] (0x0020): Missing SID.”  On all existing accounts, whereas all new accounts function properly (after resetting their passwords).<u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    > <u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    >  <u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    > <u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    > Anyone have any ideas?<u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    <u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    Maybe the sidgen task was run during ipa-adtrust-install, please see<u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    <a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Windows_Integration_Guide/creating-trusts.html#create-trust-existing-idm" target="_blank">https://access.redhat.com/docu<wbr>mentation/en-US/Red_Hat_Enterp<wbr>rise_Linux/7/html/Windows_<wbr>Integration_Guide/creating-<wbr>trusts.html#create-trust-<wbr>existing-idm</a><u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    how to run it.<u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    <u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    HTH<u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    <u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    bye,<u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    Sumit<u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    <u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    > <u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    <u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    > -- <u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    > Manage your subscription for the Freeipa-users mailing list:<u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    > <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman<wbr>/listinfo/freeipa-users</a><u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    > Go to <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    <u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    -- <u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    Manage your subscription for the Freeipa-users mailing list:<u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman<wbr>/listinfo/freeipa-users</a><u></u><u></u></p><p class="m_-8136908149918688062m_-6722252880772757711MsoPlainText">    Go to <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<u></u><u></u></p></div></div></div></div>
<br>--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman<wbr>/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br></blockquote></div><br></div></div>