Проблема

В домене FreeIPA настроены доверительные отношения с доменом Microsoft Active Directory (далее — MS AD). В домен FreeIPA согласно инструкций из статьи Справочного центра FreeIPA: настройка репликации добавлена реплика. Однако, на реплике и ее клиентах невозможен вход с использованием учетных  записей домена MS AD. При этом получение билета KERBEROS возможно. Порядок настройки доверительных отношений (до добавления реплики или после) не влияет на возможность входа пользователей MS AD.

Диагностика

  • В журналах службы sssd, а так же в ее статусе присутствуют сообщения вида:

    Unable to initialize STARTTLS session
Can`t contact LDAP server
Failed to get keytab

  • Не работает поиск пользователей домена. При выполнении команды

    id <пользователь>@<домен>

    выводится сообщение о том, что пользователь не найден.

  • Невозможен вход пользователей доверенного домена на реплике и ее клиентах.

Возможная причина: FreeIPA. Требуется настройка доверительных отношений на реплике домена. Перейти к решению.

Возможные причины