<p dir="ltr">It was a clean install of 4.0.1(not 4.0.3, I was wrong). I have upgraded to 4.1 and have not yet seen the problem recur - though I have not tested it much yet.</p>
<div class="gmail_quote">On Oct 24, 2014 12:53 AM, "Jakub Hrozek" <<a href="mailto:jhrozek@redhat.com">jhrozek@redhat.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, Oct 23, 2014 at 05:19:38PM -0700, Michael Lasevich wrote:<br>
> Small update, it appears that once I run "getent group <groupname>" - my<br>
> user shows up in the group <groupname>. Odd.<br>
><br>
> (and yes, I have ran "sss_cache -UG" many a time)<br>
><br>
> -M<br>
<br>
One particular change in IPA 4.x that might be giving old clients<br>
headache is the new permission system. Only clean installs or replicas<br>
of 6.6 (or newer) servers are guaranteed to work with old clients.<br>
<br>
How was your IPA 4.0.3 server installed? What is the 389-ds-base version<br>
you're running?<br>
<br>
Any chance you can try a newer SSSD on your CentOS6 client? I have a<br>
COPR repo with the latest 1.11 branch here:<br>
    <a href="http://copr-fe.cloud.fedoraproject.org/coprs/jhrozek/SSSD-1.11-RHEL6/" target="_blank">http://copr-fe.cloud.fedoraproject.org/coprs/jhrozek/SSSD-1.11-RHEL6/</a><br>
<br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
</blockquote></div>