<HTML><BODY><p>1. Yes, being able to find simple typos is what distinguishes a good troubleshooter from a bad one. The problem really was between the chair and the keyboard.</p><p>2. Not only you were right in this aspect, but also regarding the idea that comments in sssd.conf file shouldn't be on the same line as directives. Putting a comment on a separate line allows sssd to start normally instead of giving error messages.</p><p>3. I already updated my post at FreeBSD forums and included your comments there. Thanks for taking time to find the cause of the problems.</p><p>4. I consider this thread closed, but still plan to write a detailed HowTo about FreeBSD - FreeIPA integration, i.e. about full setup of 5 VMs:</p><p>a) a DNS server;<br> b) the first IPA server;<br> c) the second IPA server for multi-master replication;<br> d) a Linux IPA client (for changing LDAP users' passwords in behalf of FreeBSD);<br> b) a FreeBSD client - detailed steps, including many things that current post at FreeBSD forums misses.</p><p>I will then send my HowTo to both FreeBSD forums and FreeIPA team, and it's up to them to decide if the HowTo is worth publishing or not.<br>If the HowTo is OK, I'll translate it to another two languages: Russian and Azeri.</p><br><br><br>Tue, 21 Oct 2014 20:31:17 +0200 от Lukas Slebodnik <lslebodn@redhat.com>:<br>
<blockquote style="border-left:1px solid #0857A6; margin:10px; padding:0 0 0 10px;">
        <div id="">
        



    









        
        


        
        
        

        

        
        

        
        

        
        



<div class="js-helper js-readmsg-msg">
        <style type="text/css"></style>
        <div>
                <base target="_self" href="https://e.mail.ru/">
                
                        <div id="style_14139162910000000421_BODY">On (20/10/14 15:06), Orkhan Gasimov wrote:<br>
>OK, Lukas, I did as you say:<br>
>1) reset my pam.d -> login to its defaul state<br>
>2) added to my pam.d -> system: "account  required /usr/local/lib/pam_sss.so<br>
>ignore_unknown_user ignore_authinfo_unavail";<br>
>3) commented out "enumerate = True" in my /usr/local/etc/sssd/sssd.conf.<br>
>Now I cannot locally login as either root or IPA user. Seems like we built<br>
>our SSSDs differently or from different ports.<br>
>Would you be so kind to share info about your choices when building SSSD?<br>
><br>
>You're right, I'm a newbie in FreeIPA setups. But I've worked with pam stack<br>
>before, when configuring OpenLDAP on servers. That knowledge of pam let me<br>
>solve the problem of local logins with sssd by adding the appropriate line in<br>
>pam.d -> login instead of pam.d -> system. This setup works fine for me;<br>
>another setup, which you and FreeBSD forums suppose, doesn't work. Did you<br>
>check everything on a blank FreeBSD 10 setup?<br>
><br>
Basically, you should do all (ipa-client-install) steps manually.<br>
I would recommend you to look into log file from linux machine<br>
/var/log/ipaclient-install.log. The main difference between linux and FreeBSD<br>
will be location of configuration files(/etc vs /usr/local/etc)<br>
<br>
>There are indeed nuances that the post at FreeBSD forums didn't address:<br>
I would say that post was more focused on integration sssd with sudo<br>
and expected more experienced user with better knowledge of FreeIPA.<br>
It is the most difficult part.<br>
<br>
>1) what choices should be made when building SSSD and other ports - VERY<br>
>IMPORTANT, but missing information;<br>
I am use to using install packages with utility pkg. Just some packages need<br>
to be build from source. (they are listed in the begging of post)<br>
<br>
>2) how ldap.conf should be configured on a FreeBSD client for ldapsearch to<br>
>work;<br>
I don't have configured ldap.conf. On the other hand, it can be useful for<br>
troubleshooting with utility ldapsearch.<br>
<br>
>3) how krb5.conf should be configured on a FreeBSD client;<br>
The same as on linux. (sssd is linked with MIT kerberos)<br>
<br>
>4) how SSH files should be configured on a FreeBSD client for single sign-on<br>
>to behave properly (GSS-API part);<br>
Linux and FreeBSD use openssh. You can inspire in changes done by script<br>
ipa-client-install<br>
<br>
>5) how cron script file's executability, IPA user's shell and automatic<br>
>creation of home directories should be considered - there are some caveats<br>
why do you need cron?<br>
User shell can be changed on FreeIPA server or you can change sssd<br>
configuration man sssd.conf (see *shell*)<br>
<br>
>for newbies;<br>
Do you mean "admin newbies" or "FreeIPA newbies"?<br>
admin should know how to configure automatic creation of directories.<br>
(another pam module) ipa-client install just simplify it on linux.<br>
<br>
>6) why a user can't initially SSH or locally login to a FreeBSD client even<br>
>with correct configuration files (password change problem);<br>
FreeBSD admins should already have experiences with ldap configuration on<br>
FreeBSD (or at least read FreeBSD documentation). Official documentation is<br>
very good (ldap client configuration with nss-pam-ldapd)<br>
<a href="https://www.freebsd.org/doc/en/articles/ldap-auth/client.html" target="_blank">https://www.freebsd.org/doc/en/articles/ldap-auth/client.html</a><br>
<br>
>7) how to setup SSSD so that it doesn't cache information too long (this is<br>
>not what we always want, right?).<br>
><br>
sssd use cache by design. If you don't want to cache LDAP users, you can use<br>
nss-pam-ldapd. BTW this point is not related to FreeBSD<br>
<br>
Summary:<br>
Fee free to write detailed howto for newbies. We will be very glad to help with<br>
review and fixing problematic parts.<br>
<br>
LS<br>
</div>
                        
                
                <base target="_self" href="https://e.mail.ru/">
        </div>

        
</div>


</div>
</blockquote>
<br></BODY></HTML>