Thanks Jakub.  My goal for the scripts I wrote would be to potentially address both: <div><br></div><div><a href="https://fedorahosted.org/freeipa/ticket/3775">https://fedorahosted.org/freeipa/ticket/3775</a></div><div><br></div><div><font color="#000000" size="2" style="background-color:rgba(255,255,255,0)"><a href="https://fedorahosted.org/sssd/ticket/2840" target="_blank" style="background-color:rgba(255,255,255,0)">https://fedorahosted.org/sssd/ticket/2840</a></font></div><div><br>The scripts could be run centrally from an IdM server and produce a report for all registered systems in under a few seconds. I have over 1100 systems in my environment. </div><div><br></div><div>Using the 'ipa hbactest' to produce a similar report would take too long to run. </div><div><br></div><div>Using the sssd cache on each systems would be a local approach that couldn't be scaled in my environment. </div><div><br></div><div>The scripts allow for producing centralized system auditing and reporting. </div><div><br></div><div>One issue I noticed users run into is the need to produce reports of system's allowed users and sudo rules. Although I can easily list the HBAC and Sudo rules for each system, trying to pull a user list can be a tedious task. That's where these scripts come in. </div>