<div dir="ltr">SSSD is able to evaluate group membership, but if for instance I create a view for my user and I add a ssh public key I can only use it to login passwordless in the IPA server, not on an IPA client. The password still works, but I see nothing in the sssd logs that explains why the pubkey was rejected on the IPA client. Could be that the client is not really aware that there is a view override? I thought that the external mapping would facilitate this..</div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jul 13, 2015 at 11:46 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Mon, 13 Jul 2015, Angelo Pantano wrote:<br>
</span><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I have the same entry there, my question is that I don't understand why it<br>
doesn't it give me any visibility of the AD users mapped in that group, I<br>
mean I just see that entry, but what's that supposed to do? It doesn't<br>
really change anything with or without, I am missing the supposed value of<br>
having the AD users mapped in a FreeIPA posix group.<br>
<br>
I was expecting to see the AD users in that group, but I got nothing.. I'm<br>
a bit confused<br>
</blockquote></span>
Read the documentation.<br>
<br>
Once you added AD user or group as external member of an external IPA<br>
group and then added this group as a member of IPA POSIX group, the user<br>
belonging to AD group would appear as a member of IPA POSIX group:<br>
<br>
# id administrator@adx.test<br>
uid=1878600500(administrator@adx.test)<br>
gid=1878600500(administrator@adx.test)<br>
groups=1878600500(administrator@adx.test),1878600520(group policy<br>
creator owners@adx.test),1878600519(enterprise<br>
admins@adx.test),1878600512(domain admins@adx.test),1878600518(schema<br>
admins@adx.test),1878600513(domain users@adx.test),1634400007(ad_admins)<br>
<br>
You wouldn't see this in the web UI because web UI is showing what is in<br>
the LDAP, not what is visible in the system when SSSD evaluates the<br>
group membership.<span class="HOEnZb"><font color="#888888"><br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>