ПроблемаLink to Проблема

В домене FreeIPA настроены доверительные отношения с доменом Microsoft Active Directory (далее — MS AD). В домен FreeIPA согласно инструкций из статьи Справочного центра FreeIPA: настройка репликации добавлена реплика. Однако, на реплике и ее клиентах невозможен вход с использованием учетных  записей домена MS AD. При этом получение билета KERBEROS возможно. Порядок настройки доверительных отношений (до добавления реплики или после) не влияет на возможность входа пользователей MS AD.

ДиагностикаLink to Диагностика

  • В журналах службы sssd, а так же в ее статусе присутствуют сообщения вида:

    Unable to initialize STARTTLS session
Can`t contact LDAP server
Failed to get keytab

  • Не работает поиск пользователей домена. При выполнении команды

    id <пользователь>@<домен>

    выводится сообщение о том, что пользователь не найден.

  • Невозможен вход пользователей доверенного домена на реплике и ее клиентах.

Возможная причина: FreeIPA. Требуется настройка доверительных отношений на реплике домена. Перейти к решению.

Возможные причиныLink to Возможные причины