<div dir="ltr"><div><br></div>For Solaris we are using the pam_list module to control which LDAP users can have system access. The pam_list module allow netgroups to be listed in a user.allow file. <br></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Aug 15, 2015 at 1:05 PM, Natxo Asenjo <span dir="ltr"><<a href="mailto:natxo.asenjo@gmail.com" target="_blank">natxo.asenjo@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Aug 15, 2015 at 5:24 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">sipazzo wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
and my users are able to authenticate to the directory but the hbac<br>
rules are not being applied. Any user whether given access or not can<br>
login to the Solaris systems. The "allow-all" rule has been disabled, my<br>
nsswitch.conf file looks good and I have tried different configs of<br>
pam.d, including the provided example to try to resolve the issue. Am I<br>
missing some steps?<br>
</blockquote>
<br>
HBAC enforcement is provided by sssd so doesn't work in Solaris.<span><font color="#888888"></font></span><br clear="all"></blockquote></div><br></div><div class="gmail_extra">one might try using solaris' RBAC system:<br><br><a href="http://www.oracle.com/technetwork/systems/security/custom-roles-rbac-jsp-140865.html" target="_blank">http://www.oracle.com/technetwork/systems/security/custom-roles-rbac-jsp-140865.html</a><br><br></div><div class="gmail_extra">You would have to distribute your changes to all solaris systems.<br><br></div><div class="gmail_extra">There is a RBAC ldap schema <a href="http://docs.oracle.com/cd/E19455-01/806-5580/6jej518q5/index.html" target="_blank">http://docs.oracle.com/cd/E19455-01/806-5580/6jej518q5/index.html</a> for solaris, but I have never tried using it with freeipa. <br></div><div class="gmail_extra"><br><div>--<br>Groeten,<br>natxo</div>
</div></div>
<br>--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br></blockquote></div><br></div>