Необходимо проверить имеют ли рабочие станции FreeIPA доступ к пользователям из доверенного домена.

На клиенте FreeIPA:

$ getent passwd ivanov@test.alt
ivanov@test.alt:*:348001105:348001105:Иван Иванов:/home/test.alt/ivanov:

где ivanov — это пользователь из домена AD.

Назначить оболочку входа для пользователей из доверенного домена можно, добавив на сервере FreeIPA в файл /etc/sssd/sssd.conf строку:

[domain/example.test]
...
default_shell = /bin/bash
...

Перезапустить SSSD:

# systemctl restart sssd

Теперь вывод будет включать оболочку:

$ getent passwd ivanov@test.alt
ivanov@test.alt:*:348001105:348001105:Иван Иванов:/home/test.alt/ivanov:/bin/bash

Пользователи AD могут входить на клиенты FreeIPA, указывая имя в формате <ИМЯ_ДОМЕНА>\<идентификатор_пользователя_AD> или <идентификатор_пользователя_AD>@<имя_домена> (например, TEST\ivanov, TEST.ALT\ivanov, ivanov@test, ivanov@test.alt).