<div dir="ltr">thanks<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 9, 2015 at 6:42 PM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 02/09/2015 03:31 PM, Dmitri Pal wrote:<br>
> On 02/09/2015 08:34 AM, alireza baghery wrote:<br>
>> yes try "ssh admin@hostname" but do not work<br>
>> ====log secure-====<br>
>><br>
>> Feb  9 15:42:20 ipasrv sshd[13414]: pam_unix(sshd:auth): authentication<br>
>> failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.30.160.20  user=admin<br>
>> Feb  9 15:42:20 ipasrv sshd[13414]: pam_sss(sshd:auth): authentication<br>
>> success; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.30.160.20 user=admin<br>
>> Feb  9 15:42:20 ipasrv sshd[13414]: pam_sss(sshd:account): Access denied for<br>
>> user admin: 6 (Permission denied)<br>
>> Feb  9 15:42:20 ipasrv sshd[13414]: Failed password for admin from<br>
>> 10.30.160.20 port 52123 ssh2<br>
>> Feb  9 15:42:20 ipasrv sshd[13415]: fatal: Access denied for user admin by<br>
>> PAM account configuration<br>
>><br>
><br>
> Do you have HBAC rules? Does admin have the rights to log via SSH?<br>
> If you changed the default rules it might be that admin is not allowed to log<br>
> via ssh.<br>
<br>
</span>Good questions. Also note, that if for some special reasons, you do not want to<br>
make admins log in to your FreeIPA servers, you can always pass<br>
--skip-conncheck to the replica and go straight to the installation, skipping<br>
the firewall check.<br>
<br>
Of course, no guarantees that the installation won't get stuck or crash because<br>
of closed ports in that case.<br>
<span class="HOEnZb"><font color="#888888"><br>
Martin<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
</div></div></blockquote></div><br></div>