Зависимости пакета freeipa-server-trust-ad от samba-dc-mitrkb5 выглядит избыточной и приводит к коллизиям. Поскольку freeipa не поднимает контроллер домена на базе samba, для работоспособности функционала freeipa-server-trust-ad достаточно пакета samba. Явная же зависимость от пакетов samba-dc* добавляет лишние сервисы контроллера домена на базе samba.
https://git.altlinux.org/gears/f/freeipa.git?p=freeipa.git;a=commitdiff;h=a5bff0def09f2cbe976d0c0289353167f6cf87c5
Примеры того, как используется Samba во FreeIPA: https://freeipa.readthedocs.io/en/latest/designs/adtrust/oneway-trust-with-shared-secret.html https://freeipa.readthedocs.io/en/latest/designs/adtrust/samba-domain-controller.html
Чисто технически, samba-dc-mitkrb5 не содержит ничего, что требуется для freeipa-server-trust-ad. Проверено на c9f2 при тестировании samba-4.16.11 и freeipa-4.8 (с патчами от 4.9 для поддержки новой samba, версии выше 4.14) двумя способами: 1) явное удаление пакетов samba-dc-* с параметром --nodeps 2) в сборке, где samba-dc-mitkrb5 (и samba на MIT Kerberos), вообще собрана без поддержки AD. В обоих случаях построить трасты удалось. То есть проблему странной зависимости от samba-dc-mitkrb5 приводящей к ошибке поиска в smbd плагина ipasam ("No builtin nor plugin backend for ipasam found") точно можно обойти. Нужно пробовать на новых релизах samba и freeipa.
