<div><br></div><div><br></div>Sorry for late reply. Thanks for helping out. Yes after deleting the sssd cache from /var/lib it does not allow user groups outside min/max_id.<div><br></div><div><br></div><div>Thanks</div><div>
Chandan</div><div><br>On Tuesday, June 4, 2013, Jakub Hrozek  wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Fri, May 31, 2013 at 08:50:29AM -0700, Chandan Kumar wrote:<br>

> As far as my understanding goes it does not stop even if I disable cache<br>
> credentials. I set following parameters in sssd.conf but still UID 20000 is<br>
> able to login.<br>
><br>
<br>
Sorry, there was some terminology confusion. I didn't ask for disabling<br>
cache credentials, but removing the on-disk cache and starting afresh.<br>
<br>
The cache is stored in /var/lib/sss/db/cache_$domname.ldb, so you can mv<br>
or rm it and check again if the IDs are still allowed.<br>
<br>
> cache_credentials = False<br>
> krb5_store_password_if_offline = False<br>
> min_id=5000<br>
> max_id=5010<br>
> enumerate = False<br>
> entry_cache_timeout=3<br>
><br>
> Package Info:<br>
> Client;<br>
> sssd-client-1.9.2-82.7.el6_4.x86_64<br>
><br>
> Server:<br>
> ipa-server-2.2.0-16.el6.x86_64<br>
><br>
> Thanks<br>
> Chandan<br>
><br>
> On Friday, May 31, 2013, Jakub Hrozek wrote:<br>
><br>
> > On Fri, May 31, 2013 at 09:26:40AM -0400, Simo Sorce wrote:<br>
> > > On Fri, 2013-05-31 at 11:55 +0200, Jakub Hrozek wrote:<br>
> > > > On Thu, May 30, 2013 at 07:23:38PM -0400, Dmitri Pal wrote:<br>
> > > > > On 05/30/2013 06:52 PM, Chandan Kumar wrote:<br>
> > > > > > Hello,<br>
> > > > > ><br>
> > > > > > As part of migration from passwd/shadow to IPA, I want to roll out<br>
> > > > > > IPA/SSSD based password first for a small number of users and then<br>
> > for<br>
> > > > > > all. (same goes with host. first small number of host and then<br>
> > all).<br>
> > > > > ><br>
> > > > > > I was trying to limit it using max_id/min_id parameters in sssd<br>
> > but it<br>
> > > > > > does not seems to work the way I expected.<br>
> > > > > > -------<br>
> > > > > > min_id = 5000<br>
> > > > > > max_id = 5100<br>
> > > > > > ------<br>
> > > > > > So there is a user "kchandan" with UID/GID 20000<br>
> > > > > > ------<br>
> > > > > > [root@tipa1 ~]# id kchandan<br>
> > > > > > uid=20000(kchandan) gid=20000 groups=20000<br>
> > > > > > -------<br>
> > > > > ><br>
> > > > > > But It is allowing me to login with that ID with only error showing<br>
> > > > > > GID 20000 not found.<br>
> > > > > > -----------<br>
> > > > > > ssh 10.2.3.105 -l kchandan<br>
> > > > > > <a>kchandan@10.2.3.105</a> <mailto:<a>kchandan@10.2.3.105</a>>'s password:<br>
> > > > > > id: cannot find name for group ID 20000<br>
> > > > > > -------------<br>
> > > > > ><br>
> > > > > > Is there any way to achieve this?<br>
> > > > ><br>
> > > > > So you want to allow only a subset of users with a specific range to<br>
> > log<br>
> > > > > into the systems controlled by SSSD before you open it to a broader<br>
> > public?<br>
> > > > > I would defer to SSSD gurus but the hack that comes to mind is to<br>
> > > > > configure a simple access provider to limit the access to just the<br>
> > users<br>
> > > > > you care about (man sssd-simple) or configure ldap access provider<br>
> > based<br>
> > > > > on a filter (man sssd-ldap).<br>
> > > ><br>
> > > > Hi,<br>
> > > ><br>
> > > > The user shouldn't be even saved to cache if it's filtered out of<br>
> > range.<br>
> > > ><br>
> > > > But looking at the current NSS code, the entry would have been<br>
> > returned if<br>
> > > > it was saved *before* you changed the min_id/max_id parameters. Could<br>
> > that be<br>
> > > > the case? Can you check if after removing the cache the entry still<br>
> > shows up?<br>
> > > ><br>
> > > > I think that the fact that the entry is returned from cache even if it<br>
> > > > should be filtered out is a bug:<br>
> > > > <a href="https://fedorahosted.org/sssd/ticket/1954" target="_blank">https://fedorahosted.org/sssd/ticket/1954</a><br>
> > ><br>
> > > So far we always maintained that if you consistently change<br>
> > > configuration (and a change of ranges is a big change) then it's on the<br>
> > > admin to wipe the cache file.<br>
> ><br>
> > Yes, that's why the ticket is minor. But mostly I don't like the<br>
> > inconsistency where some requests check the ranges even in the responder<br>
> > and some don't.<br>
> ><br>
> > _______________________________________________<br>
> > Freeipa-users mailing list<br>
> > <a>Freeipa-users@redhat.com</a><br>
> > <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank"></a></blockquote></div><br><br>-- <br><br><div>--</div><div><a href="http://about.me/chandank" target="_blank">http://about.me/chandank</a><br>
</div><br>