On Thu, Jul 22, 2010 at 11:07 AM, Sumit Bose <span dir="ltr"><<a href="mailto:sbose@redhat.com">sbose@redhat.com</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div class="im">On Thu, Jul 22, 2010 at 10:19:37AM +0200, Sumit Bose wrote:<br>
> On Wed, Jul 21, 2010 at 03:22:29PM -0400, Scott Duckworth wrote:<br>
><br>
> ...<br>
><br>
> ><br>
> > "something bad happened" isn't very useful.  And since SSS refuses to try<br>
> > and authenticate users without an encrypted connection, I can't easily use<br>
> > wireshark and friends to debug at the protocol level.  While I could<br>
> > probably patch the source to print the actual LDAP error with<br>
> > ldap_err2string(), or maybe gdb the process and set a breakpoint when things<br>
> > go wrong to hopefully get some more useful information, this is beyond what<br>
> > I'd normally consider doing when deploying new software.  Any suggestions?<br>
><br>
> I'm currently installing eDirectory and I will try to reproduce the<br>
> behaviour you have found.<br>
<br>
</div>I have run some basic authentication test with eDirectory 8.8-SP5 and<br>
everything worked fine. I have to admit that I have used the current<br>
master of sssd which includes a lot of changes to the LDAP code. Would<br>
you mind to test our current beta release from<br>
<a href="http://kojipkgs.fedoraproject.org/packages/sssd/1.2.91/21.fc14/" target="_blank">http://kojipkgs.fedoraproject.org/packages/sssd/1.2.91/21.fc14/</a> . It is<br>
for rawhide but should work fine on F13, too.<br></blockquote><div><br>Sure, I'll give it a shot and report back what I find.<br> <br></div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

I also didn't use LDAP aliases. Can you check if setting DEREF in<br>
/etc/openldap/ldap.conf helps? If not, can you give a short description<br>
how aliases are used in your case so that I can set up a similar<br>
environment?<br></blockquote><div><br>Setting DEREF to always in /etc/openldap/ldap.conf works.  Aliasing is only needed for one DN in our tree: everyone's default group is aliased to another DN in another branch of the tree.  I wish there were some way to enable aliasing on a per-map basis (e.g. only groups or only users) so that you'd only take the performance hit where necessary, but I'm not aware of any NSS LDAP client that does this.<br>
 </div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Thanks.<br>
<br>
bye,<br>
<font color="#888888">Sumit<br>
</font><div><div></div><div class="h5"><br>
><br>
> ><br>
> > Moving on...<br>
> ><br>
> > We will need to dereference LDAP aliases but I have not yet been able to<br>
> > find a setting to enable this.  I also have not found the equivalent of the<br>
><br>
> I have added a RFE to sssd trac<br>
> (<a href="https://fedorahosted.org/sssd/ticket/568" target="_blank">https://fedorahosted.org/sssd/ticket/568</a>). As a sort term fix you can<br>
> add the appropriate DEREF option to /etc/openldap/ldap.conf.<br>
><br>
> > pam_password_prohibit_message setting in /etc/ldap.conf; while not strictly<br>
> > required, it is nice to refer users to the proper way to change passwords in<br>
> > our environment.<br>
><br>
> Currently there is only a configurable message if password resets by<br>
> root fail. I have added <a href="https://fedorahosted.org/sssd/ticket/569" target="_blank">https://fedorahosted.org/sssd/ticket/569</a> to<br>
> track this.<br>
><br>
> bye,<br>
> Sumit<br>
><br>
> ><br>
> > Any help would be appreciated.  Thanks!<br>
> ><br>
> > Scott Duckworth, Systems Programmer II<br>
> > Clemson University School of Computing<br>
><br>
> > _______________________________________________<br>
> > Freeipa-users mailing list<br>
> > <a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
> > <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
><br>
> _______________________________________________<br>
> Freeipa-users mailing list<br>
> <a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
<br>
_______________________________________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
</div></div></blockquote></div><br>