<div dir="ltr"><div><div><div><div><div><div><div><div><div>Hello,<br><br></div>My FreeIPA clients and server are setup to use the AD domain as the default. This is done using the default_domain_suffix parameter in the sssd section of the sssd.conf file. <br><br></div>This works fine for users when we use ldapsearch but not so much for groups. For e.g.:<br><br>ldapsearch -x -W -s sub -H 'ldap://<a href="http://ipa.server.com">ipa.server.com</a>' -b 'cn=compat,dc=ipa,dc=server,dc=com' -D 'uid=binduser,cn=users,cn=accounts,dc=ipa,dc=server,dc=com' '(cn=<a href="mailto:domaingroup@server.com">domaingroup@server.com</a>)'<br><br></div>works fine but <br><br>ldapsearch -x -W -s sub -H 'ldap://<a href="http://ipa.server.com">ipa.server.com</a>' -b 
'cn=compat,dc=ipa,dc=server,dc=com' -D 
'uid=binduser,cn=users,cn=accounts,dc=ipa,dc=server,dc=com' 
'(cn=domaingroup)'<br><br></div>won't work. However, the above will work fine for users. I'm using the following:<br><br></div>AD: Windows 2008 R2<br></div>FreeIPA Server: 4.4.0-14<br></div>FreeIPA Client: 4.4.0-14<br></div>SSSD: 1.14.0-43<br></div><div>Linux version: CentOS 7.3 x64_86<br></div><div><br></div>The AD trust is setup with --enable-compat.<br><div><div><div><div><div><div><div><br></div><div><font size="2">Regards,<br><br></font></div><div><font size="2">Hanoz<br></font></div></div></div></div></div></div></div></div>