FreeIPA трастовые отношения с AD, не пускает под учётками из AD?

Question

Андрей @MoscowStyle

Linux

FreeIPA трастовые отношения с AD, не пускает под учётками из AD?

есть домен на FreeIPA , установлены трастовые отношения с AD и вроде всё это взлетело, но есть проблема - на машинах которые в домене FreeIPA перестаёт пускать под учётками из AD, т.е то можно зайти, то нет.

В логах в этот момент:

spoiler

-- Результат: done.
мар 09 13:57:16 polyakov.freeipa.local sssd_pac[36353]: Starting up
мар 09 13:57:26 polyakov.freeipa.local sudo[36357]:     root : TTY=pts/0 ; PWD=/home/polyakov ; USER=root ; COMMAND=/usr/bin/su
мар 09 13:57:26 polyakov.freeipa.local sudo[36357]: pam_unix(sudo:session): session opened for user root by polyakov(uid=0)
мар 09 13:57:26 polyakov.freeipa.local su[36358]: (to root) polyakov on pts/0
мар 09 13:57:26 polyakov.freeipa.local su[36358]: pam_unix(su:session): session opened for user root by polyakov(uid=0)
мар 09 13:58:04 polyakov.freeipa.local sshd[36388]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.9.82  user=apolyakov@mydomain.ru
мар 09 13:58:05 polyakov.freeipa.local sshd[36388]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.9.82 user=apolyakov@mydomain.ru
мар 09 13:59:35 polyakov.freeipa.local sssd_be[584]: GSSAPI client step 1
мар 09 13:59:35 polyakov.freeipa.local sssd_be[584]: GSSAPI client step 1
мар 09 13:59:35 polyakov.freeipa.local sssd_be[584]: GSSAPI client step 1
мар 09 13:59:35 polyakov.freeipa.local sssd_be[584]: GSSAPI client step 2
мар 09 13:59:41 polyakov.freeipa.local sssd_be[584]: GSSAPI client step 1
мар 09 13:59:41 polyakov.freeipa.local sssd_be[584]: GSSAPI client step 1
мар 09 13:59:41 polyakov.freeipa.local sssd_be[584]: GSSAPI client step 1
мар 09 13:59:41 polyakov.freeipa.local sssd_be[584]: GSSAPI client step 2
мар 09 13:59:54 polyakov.freeipa.local xrdp-sesman[597]: (597)(140446557468224)[INFO ] ++ reconnected session: username apolyakov@mydomain.ru, display :10.0, session_pid 1167, ip ::ffff:10.>
мар 09 13:59:54 polyakov.freeipa.local xrdp-sesman[597]: (597)(140446557468224)[DEBUG] Closed socket 9 (AF_INET6 ::1 port 3350)
мар 09 13:59:54 polyakov.freeipa.local xrdp-sesman[597]: (597)(140446557468224)[INFO ] A connection received from ::1 port 57250
мар 09 13:59:54 polyakov.freeipa.local xrdp-sesman[597]: pam_unix(xrdp-sesman:auth): authentication failure; logname= uid=0 euid=0 tty=xrdp-sesman ruser= rhost=  user=apolyakov@mydomain.ru
мар 09 13:59:54 polyakov.freeipa.local xrdp-sesman[597]: pam_sss(xrdp-sesman:auth): authentication success; logname= uid=0 euid=0 tty=xrdp-sesman ruser= rhost= user=apolyakov@mydomain.ru
мар 09 13:59:56 polyakov.freeipa.local xrdp-sesman[597]: (597)(140446557468224)[INFO ] ++ reconnected session: username apolyakov@mydomain.ru, display :10.0, session_pid 1167, ip ::ffff:10.>
мар 09 13:59:56 polyakov.freeipa.local xrdp-sesman[597]: (597)(140446557468224)[DEBUG] Closed socket 4 (AF_INET6 ::1 port 3350)
мар 09 14:01:04 polyakov.freeipa.local sssd_be[584]: GSSAPI client step 1
мар 09 14:01:04 polyakov.freeipa.local sssd_be[584]: GSSAPI client step 1
мар 09 14:01:04 polyakov.freeipa.local sssd_be[584]: GSSAPI client step 1
мар 09 14:01:04 polyakov.freeipa.local sssd_be[584]: GSSAPI client step 2
мар 09 14:01:04 polyakov.freeipa.local sssd_be[584]: GSSAPI client step 1
мар 09 14:01:04 polyakov.freeipa.local sssd_be[584]: GSSAPI client step 1
мар 09 14:01:04 polyakov.freeipa.local sssd_be[584]: GSSAPI client step 1
мар 09 14:01:04 polyakov.freeipa.local sssd_be[584]: GSSAPI client step 2

Машины разные, поведение одно и то же, то пускает по ssh/xrdp то нет......
Гугл уже перевернул, не могу понять, где грабли.