<div class="gmail_quote">On Fri, Jul 23, 2010 at 6:16 AM, Sumit Bose <span dir="ltr"><<a href="mailto:sbose@redhat.com">sbose@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div><div></div><div class="h5">On Thu, Jul 22, 2010 at 04:49:50PM -0400, Simo Sorce wrote:<br>
> On Thu, 22 Jul 2010 16:22:45 -0400<br>
> Scott Duckworth <<a href="mailto:sduckwo@clemson.edu">sduckwo@clemson.edu</a>> wrote:<br>
><br>
> > On Thu, Jul 22, 2010 at 3:39 PM, Simo Sorce <<a href="mailto:ssorce@redhat.com">ssorce@redhat.com</a>> wrote:<br>
> ><br>
> > > On Thu, 22 Jul 2010 15:30:23 -0400<br>
> > > Scott Duckworth <<a href="mailto:sduckwo@clemson.edu">sduckwo@clemson.edu</a>> wrote:<br>
> > ><br>
> > > > On Thu, Jul 22, 2010 at 11:59 AM, Simo Sorce <<a href="mailto:ssorce@redhat.com">ssorce@redhat.com</a>><br>
> > > > wrote:<br>
> > > ><br>
> > > > > On Thu, 22 Jul 2010 11:10:25 -0400<br>
> > > > > Scott Duckworth <<a href="mailto:sduckwo@clemson.edu">sduckwo@clemson.edu</a>> wrote:<br>
> > > > ><br>
> > > > > > I removed all files from /var/lib/sss/db/ and restarted sssd.<br>
> > > > > > Same behavior.  nscd is disabled, so I don't think it's<br>
> > > > > > caching at any level.<br>
> > > > > ><br>
> > > > > > Here is what I ran:<br>
> > > > > ><br>
> > > > > > [root@duck2 ~]# getent passwd sduckwo<br>
> > > > > > sduckwo:*:45265:10000:Scott Duckworth:/home/sduckwo:/bin/bash<br>
> > > > > > [root@duck2 ~]# groups sduckwo<br>
> > > > > > sduckwo : cuuser<br>
> > > > > > [root@duck2 ~]# getent group coes_socunix<br>
> > > > > > coes_socunix:*:120105:sduckwo<br>
> > > > ><br>
> > > > ><br>
> > > > I should add to this, that what I expected to see is this (from<br>
> > > > one of the RHEL boxes using nss_ldap):<br>
> > > ><br>
> > > > [root@potter commands]# groups sduckwo<br>
> > > > sduckwo : cuuser coes_dpa coes_socunix coes_web_cs coes_web_fx<br>
> > ><br>
> > > If you log in as sduckwo you should just see that.<br>
> > > The same if you do "id sduckwo"<br>
> > ><br>
> ><br>
> > No go...<br>
> ><br>
> > [root@duck2 ~]# service sssd stop<br>
> > [root@duck2 ~]# rm -f /var/lib/sss/db/*<br>
> > [root@duck2 ~]# service nscd stop<br>
> > [root@duck2 ~]# service sssd start<br>
> > Starting sssd:                                             [  OK  ]<br>
> > [root@duck2 ~]# id sduckwo<br>
> > uid=45265(sduckwo) gid=10000(cuuser) groups=10000(cuuser)<br>
> > [root@duck2 ~]# su - sduckwo<br>
> > [16:05:24] sduckwo@duck2:~ [1] id<br>
> > uid=45265(sduckwo) gid=10000(cuuser) groups=10000(cuuser)<br>
> > [16:05:26] sduckwo@duck2:~ [2] groups<br>
> > cuuser<br>
><br>
> Uhmmm this may be a side effect of your directory not having memberof<br>
> I think we need to add special code to handle servers that use<br>
> rfc2307bis schema but that do not use memberof.<br>
<br>
</div></div>In my test setup eDirectory uses an attribute named groupMembership in<br>
the user object to store the DN of the groups the user belongs to. Can<br>
you check if adding the option<br>
<br>
ldap_user_member_of = groupMembership<br>
<br>
does help here?<br></blockquote><div><br>I've learned that this attribute does exist in our tree, but it's not being populated when we add users to groups since our proxy user does not have rights to write groupMembership to users.  I'm trying to find out if we can get our hands on native eDirectory tools that keep groupMembership of posixAccount and member of posixGroup in sync.<br>
<br>Still, if groupOf/groupMembership is not required by rfc2307bis, it would be nice if SSSD did not require it.<br><br>If a user has a groupOf/groupMembership attribute pointing to a group outside of ldap_group_search_base, will this be handled gracefully?<br>
</div></div>