<div dir="ltr"><div class="gmail_default" style="font-family:'courier new',monospace">Hi FreeIPA Users-</div><div class="gmail_default" style="font-family:'courier new',monospace"><br></div><div class="gmail_default" style="font-family:'courier new',monospace">I've deployed a FreeIPA instance in my Lab, and enrolled a single host, and a single user ('testuser'). The only HBAC rule I currently have is the stock allow_all. Yet, when I attempt to log into the host via ssh, it closes the connection. </div><div class="gmail_default" style="font-family:'courier new',monospace"><br></div><div class="gmail_default" style="font-family:'courier new',monospace"><div class="gmail_default">$ ssh testuser@<host></div><div class="gmail_default">Warning: Permanently added '<host>,<host-ip>' (RSA) to the list of known hosts.</div><div class="gmail_default">testuser@<host>'s password:</div><div class="gmail_default">Connection closed by <host-ip></div></div><div class="gmail_default" style="font-family:'courier new',monospace"><br></div><div class="gmail_default" style="font-family:'courier new',monospace">The host I'm attempting to login to can correctly look up the user using getent:</div><div class="gmail_default" style="font-family:'courier new',monospace"><br></div><div class="gmail_default" style="font-family:'courier new',monospace"><div class="gmail_default"># getent passwd testuser</div><div class="gmail_default">testuser:*:168400003:168400003:Test User:/home/testuser:/bin/bash</div></div><div class="gmail_default" style="font-family:'courier new',monospace"><br></div><div class="gmail_default" style="font-family:'courier new',monospace">Scanning /var/log/secure, I see these entries:</div><div class="gmail_default" style="font-family:'courier new',monospace"><br></div><div class="gmail_default" style><div class="gmail_default" style="font-family:'courier new',monospace">Feb 14 12:01:50 <host> sshd[6528]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=172.30.3.58  user=testuser</div><div class="gmail_default" style="font-family:'courier new',monospace">Feb 14 12:01:51 <host> sshd[6528]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=172.30.3.58 user=testuser</div><div class="gmail_default" style="font-family:'courier new',monospace">Feb 14 12:01:51 <host> sshd[6528]: pam_sss(sshd:account): Access denied for user testuser: 6 (Permission denied)</div><div class="gmail_default" style="font-family:'courier new',monospace"><br></div><div class="gmail_default" style="font-family:'courier new',monospace">That tells me (From reading online) the user / password was correctly authenticated, but failed authorization due to HBAC rules. I've tested the rule using the 'hbactest' utility and it passes</div><div class="gmail_default" style="font-family:'courier new',monospace"><br></div><div class="gmail_default" style><div class="gmail_default" style="font-family:'courier new',monospace">[root@<Master> ~]# ipa hbactest --user=testuser --host=<host> --service=sshd</div><div class="gmail_default" style="font-family:'courier new',monospace">--------------------</div><div class="gmail_default" style="font-family:'courier new',monospace">Access granted: True</div><div class="gmail_default" style="font-family:'courier new',monospace">--------------------</div><div class="gmail_default" style="font-family:'courier new',monospace">  Matched rules: allow_all</div><div class="gmail_default" style="font-family:'courier new',monospace"><br></div><div class="gmail_default" style="font-family:'courier new',monospace">I'm at a loss here, because If I comment out the line:</div><div class="gmail_default" style="font-family:'courier new',monospace"><br></div><div class="gmail_default" style><font face="courier new, monospace">account     [default=bad success=ok user_unknown=ignore] pam_sss.so</font><br></div><div class="gmail_default" style><font face="courier new, monospace"><br></font></div><div class="gmail_default" style><font face="courier new, monospace">in /etc/pam.d/system-auth, the user is able to login.</font></div><div class="gmail_default" style><font face="courier new, monospace"><br></font></div><div class="gmail_default" style><font face="courier new, monospace">So what am I missing here? Is there a way I can debug HBAC rules? I've already set debug_level = 10 in /etc/sssd/sssd.conf, and I see its able to access the HBAC 'allow_all' rule in the log /var/log/sssd/sssd_</font><span style="font-family:'courier new',monospace"><domain></span><font face="courier new, monospace">.</font><span style="font-family:'courier new',monospace"><dc></span><font face="courier new, monospace">.log</font><span style="font-family:'courier new',monospace">:</span></div><div class="gmail_default" style><font face="courier new, monospace"><br></font></div><div class="gmail_default" style><font face="courier new, monospace"><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [sdap_get_generic_done] (7): Total count [0]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_attrs_to_rule] (7): Processing rule [allow_all]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_user_attrs_to_rule] (7): Processing users for rule [allow_all]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_get_category] (5): Category is set to 'all'.</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_service_attrs_to_rule] (7): Processing PAM services for rule [allow_all]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_get_category] (5): Category is set to 'all'.</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_thost_attrs_to_rule] (7): Processing target hosts for rule [allow_all]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_get_category] (5): Category is set to 'all'.</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_shost_attrs_to_rule] (7): Processing source hosts for rule [allow_all]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_host_attrs_to_rule] (4): No host specified, rule will never apply.</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_eval_user_element] (7): [12] groups for [admin]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_eval_user_element] (7): Added group [admins] for user [admin]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_eval_user_element] (8): Skipping non-group memberOf [cn=replication administrators,cn=privileges,cn=pbac,dc=<domain>,dc=<dc>]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_eval_user_element] (8): Skipping non-group memberOf [cn=add replication agreements,cn=permissions,cn=pbac,dc=<domain>,dc=<dc>]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_eval_user_element] (8): Skipping non-group memberOf [cn=modify replication agreements,cn=permissions,cn=pbac,dc=<domain>,dc=<dc>]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_eval_user_element] (8): Skipping non-group memberOf [cn=remove replication agreements,cn=permissions,cn=pbac,dc=<domain>,dc=<dc>]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_eval_user_element] (8): Skipping non-group memberOf [cn=host enrollment,cn=privileges,cn=pbac,dc=<domain>,dc=<dc>]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_eval_user_element] (8): Skipping non-group memberOf [cn=manage host keytab,cn=permissions,cn=pbac,dc=<domain>,dc=<dc>]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_eval_user_element] (8): Skipping non-group memberOf [cn=enroll a host,cn=permissions,cn=pbac,dc=<domain>,dc=<dc>]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_eval_user_element] (8): Skipping non-group memberOf [cn=add krbprincipalname to a host,cn=permissions,cn=pbac,dc=<domain>,dc=<dc>]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_eval_user_element] (8): Skipping non-group memberOf [cn=unlock user accounts,cn=permissions,cn=pbac,dc=<domain>,dc=<dc>]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_eval_user_element] (8): Skipping non-group memberOf [cn=manage service keytab,cn=permissions,cn=pbac,dc=<domain>,dc=<dc>]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [hbac_eval_user_element] (7): Added group [trust admins] for user [admin]</div><div class="gmail_default">(Fri Feb 13 21:38:15 2015) [sssd[be[<domain>.<dc>]]] [ipa_hbac_evaluate_rules] (3): Access denied by HBAC rules</div><div class="gmail_default"><br></div><div class="gmail_default">IPA server:</div><div class="gmail_default"><div class="gmail_default"><div class="gmail_default"># rpm -q ipa-server sssd</div><div class="gmail_default">ipa-server-3.0.0-42.el6.centos.x86_64</div><div class="gmail_default">sssd-1.11.6-30.el6_6.3.x86_64</div></div><div class="gmail_default"># cat /etc/redhat-release</div><div class="gmail_default">CentOS release 6.5 (Final)</div><div class="gmail_default"><br></div><div class="gmail_default">Client:</div><div class="gmail_default"><div class="gmail_default"># cat /etc/redhat-release</div><div class="gmail_default">CentOS release 5.8 (Final)</div><div class="gmail_default"># rpm -q sssd</div><div class="gmail_default">sssd-1.5.1-49.el5_8.1</div><div class="gmail_default"><br></div><div class="gmail_default">Any help is appreciated.</div><div class="gmail_default"><br></div><div class="gmail_default">Thanks,</div><div class="gmail_default">-Andrew</div></div><div class="gmail_default"><br></div></div></font></div></div></div>
</div>