<div dir="ltr">We are transitioning from one IPA instance to a new IPA instance. The version of IPA instances is the same, and all is functioning normally on the existing IPA, but when I attempt to transition a host to the new IPA instance, I get the following in my logs when I attempt an SSH ..<div>
<br></div><div><div><div>[sssd[be[<a href="http://dev.ca1.sfmc.co">dev.ca1.sfmc.co</a>]]] [hbac_get_category] (5): Category is set to 'all'.</div><div>[sssd[be[<a href="http://dev.ca1.sfmc.co">dev.ca1.sfmc.co</a>]]] [hbac_get_category] (5): Category is set to 'all'.</div>
<div>[sssd[be[<a href="http://dev.ca1.sfmc.co">dev.ca1.sfmc.co</a>]]] [hbac_host_attrs_to_rule] (4): No host specified, rule will never apply.</div><div>[sssd[be[<a href="http://dev.ca1.sfmc.co">dev.ca1.sfmc.co</a>]]] [hbac_get_category] (5): Category is set to 'all'.</div>
<div>[sssd[be[<a href="http://dev.ca1.sfmc.co">dev.ca1.sfmc.co</a>]]] [hbac_host_attrs_to_rule] (4): No host specified, rule will never apply.</div><div>[sssd[be[<a href="http://dev.ca1.sfmc.co">dev.ca1.sfmc.co</a>]]] [ipa_hbac_evaluate_rules] (3): Access denied by HBAC rules</div>
<div>[sssd[be[<a href="http://dev.ca1.sfmc.co">dev.ca1.sfmc.co</a>]]] [be_pam_handler_callback] (4): Backend returned: (0, 6, <NULL>) [Success]</div></div><div><br></div><div>The HBAC rule, according to the test, will grant me access since I'm in the appropriate group</div>
<div><br></div><div><div>  Rule name: hbac_techops</div><div>  Host category: all</div><div>  Service category: all</div><div>  Description: TechOps Access</div><div>  Enabled: TRUE</div><div>  User Groups: ug-techops</div>
</div><div><br></div><div>I'm not sure what "No host specified, rule will never apply" means. I attempted to add the host to the rule rather than use a hostgroup, but the result is the same</div><div><br></div>
<div>Server - RH 6.4, ipa-server-3.0.0-37.el6.x86_64</div><div>Client - Ubuntu 10, sssd 1.5.15-0ubuntu6~lucid2</div><div><br></div><div>sssd.conf</div><div><div>[sssd]</div><div>config_file_version = 2</div><div>reconnection_retries = 3</div>
<div>sbus_timeout = 30</div><div>services = nss, pam</div><div>domains = <a href="http://dev.ca1.sfmc.co">dev.ca1.sfmc.co</a></div><div><br></div><div>[nss]</div><div>filter_groups = root</div><div>filter_users = root</div>
<div>reconnection_retries = 3</div><div><br></div><div>[pam]</div><div>reconnection_retries = 3</div><div><br></div><div>[domain/<a href="http://dev.ca1.sfmc.co">dev.ca1.sfmc.co</a>]</div><div>debug_level = 5</div><div>enumerate = true</div>
<div>cache_credentials = true</div><div><br></div><div>id_provider = ipa</div><div>auth_provider = ipa</div><div>chpass_provider = ipa</div><div>access_provider = ipa</div><div><br></div><div>krb5_store_password_if_offline = True</div>
<div>ipa_server = _srv_</div><div>ldap_tls_cacert = /etc/ipa/ca.crt</div><div>krb5_realm = <a href="http://SFMC.CO">SFMC.CO</a></div><div>krb5_changepw_principle = kadmin/changepw</div><div>krb5_auth_timeout = 15</div><div>
ipa_hostname = <a href="http://vm3118.dev.ca1.sfmc.co">vm3118.dev.ca1.sfmc.co</a></div></div><div><br></div><div><br></div><div><br></div>-- <br><div dir="ltr">Terry Soucy - Systems Engineer<br>Salesforce MarketingCloud - <a href="http://www.salesforce.com" target="_blank">http://www.salesforce.com</a><br>
(o) 506.631.7445 (c) 506.609.3247 | (e) <a href="mailto:tsoucy@salesforce.com" target="_blank">tsoucy@salesforce.com</a></div>
</div></div>