<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Aug 15, 2015 at 5:24 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">sipazzo wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
and my users are able to authenticate to the directory but the hbac<br>
rules are not being applied. Any user whether given access or not can<br>
login to the Solaris systems. The "allow-all" rule has been disabled, my<br>
nsswitch.conf file looks good and I have tried different configs of<br>
pam.d, including the provided example to try to resolve the issue. Am I<br>
missing some steps?<br>
</blockquote>
<br>
HBAC enforcement is provided by sssd so doesn't work in Solaris.<span class="HOEnZb"><font color="#888888"></font></span><br clear="all"></blockquote></div><br></div><div class="gmail_extra">one might try using solaris' RBAC system:<br><br><a href="http://www.oracle.com/technetwork/systems/security/custom-roles-rbac-jsp-140865.html">http://www.oracle.com/technetwork/systems/security/custom-roles-rbac-jsp-140865.html</a><br><br></div><div class="gmail_extra">You would have to distribute your changes to all solaris systems.<br><br></div><div class="gmail_extra">There is a RBAC ldap schema <a href="http://docs.oracle.com/cd/E19455-01/806-5580/6jej518q5/index.html">http://docs.oracle.com/cd/E19455-01/806-5580/6jej518q5/index.html</a> for solaris, but I have never tried using it with freeipa. <br></div><div class="gmail_extra"><br><div class="gmail_signature">--<br>Groeten,<br>natxo</div>
</div></div>