<div dir="ltr"><div><div>Now is working, with the same configuration ...<br></div>Could it be possibile some delay on the trust if the AD group was a new one?<br><br></div>Thanks, Morgan<br></div><div class="gmail_extra"><br><div class="gmail_quote">2015-09-14 11:35 GMT+02:00 Sumit Bose <span dir="ltr"><<a href="mailto:sbose@redhat.com" target="_blank">sbose@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Mon, Sep 14, 2015 at 11:16:57AM +0200, Morgan Marodin wrote:<br>
> Ok, but now I've an other problem :)<br>
><br>
> If I disable the default allow_all HBAC rule creating one custom HBAC rule<br>
> that enable ad_admins to access any host any service, kerberos ticket via<br>
> ssh does not works.<br>
> Username/password authentication with the same custom HBAC rules works.<br>
><br>
> SSH logs with kerberos authentication:<br>
> Sep 14 11:04:43 ipa-client01 sshd[1728]: Authorized to<br>
> <a href="mailto:Administrator@mydomain.com">Administrator@mydomain.com</a>, krb5 principal <a href="mailto:Administrator@MYDOMAIN.COM">Administrator@MYDOMAIN.COM</a><br>
> (krb5_kuserok)<br>
> Sep 14 11:04:43 ipa-client01 sshd[1728]: pam_sss(sshd:account): Access<br>
> denied for user <a href="mailto:Administrator@mydomain.com">Administrator@mydomain.com</a>: 6 (Permission denied)<br>
> Sep 14 11:04:43 ipa-client01 sshd[1729]: fatal: Access denied for user<br>
> <a href="mailto:Administrator@mydomain.com">Administrator@mydomain.com</a> by PAM account configuration<br>
><br>
> SSH logs with username/password authentication:<br>
> Sep 14 11:10:30 ipa-client01 sshd[1766]: pam_unix(sshd:auth):<br>
> authentication failure; logname= uid=0 euid=0 tty=ssh ruser=<br>
> rhost=192.168.0.252  user=<a href="mailto:Administrator@mydomain.com">Administrator@mydomain.com</a><br>
> Sep 14 11:10:31 ipa-client01 sshd[1766]: pam_sss(sshd:auth): authentication<br>
> success; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.0.252 user=<br>
> <a href="mailto:Administrator@mydomain.com">Administrator@mydomain.com</a><br>
> Sep 14 11:10:31 ipa-client01 sshd[1766]: Accepted password for<br>
> <a href="mailto:Administrator@mydomain.com">Administrator@mydomain.com</a> from 192.168.0.252 port 49590 ssh2<br>
> Sep 14 11:10:31 ipa-client01 sshd[1766]: pam_unix(sshd:session): session<br>
> opened for user <a href="mailto:Administrator@mydomain.com">Administrator@mydomain.com</a> by (uid=0)<br>
><br>
> If I enable allow_all HBAC rule kerberos authentication works.<br>
> Maybe is there something else to configure?<br>
<br>
</div></div>no, HBAC result should not change depending on the authentication<br>
method. Can you send me the SSSD logs with a high debug level (10) for<br>
both cases? If you prefer you can send them to me directly.<br>
<br>
bye,<br>
Sumit<br>
<span class="im HOEnZb"><br>
><br>
> Thanks, Morgan<br>
><br>
> 2015-09-14 9:48 GMT+02:00 Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com">abokovoy@redhat.com</a>>:<br>
><br>
> > On Mon, 14 Sep 2015, Morgan Marodin wrote:<br>
> ><br>
> >> The Pro edition.<br>
> >><br>
> >> I've solved my connection problem, I have to specify manually the<br>
> >> username (<br>
> >> <a href="mailto:name.surname@ad_domain.com">name.surname@ad_domain.com</a>) with Microsoft SSPI.<br>
> >> In this mode is ok, but using Putty "Use system username" do not works for<br>
> >> me.<br>
> >><br>
> >><br>
> >> I don't know why :)<br>
> >><br>
> > A problem is in the fact that when you use PuTTY's 'use system<br>
> > username', it does only provide unqualified name there, e.g.<br>
> > Administrator, not AD\Administrator or Administrator@AD.TEST. On IPA<br>
> > client side AD users are fully qualified and thus a user you are trying<br>
> > to login to (Administrator) is not the same as the user you are<br>
> > (Adminsitrator@ad.test).<br>
> > --<br>
> > / Alexander Bokovoy<br>
> ><br>
><br>
><br>
><br>
> --<br>
> Morgan Marodin<br>
> email: <a href="mailto:morgan@marodin.it">morgan@marodin.it</a><br>
> mobile: <a href="tel:%2B39.3477829069" value="+393477829069">+39.3477829069</a><br>
<br>
</span><div class="HOEnZb"><div class="h5">> --<br>
> Manage your subscription for the Freeipa-users mailing list:<br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
<br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature">Morgan Marodin<br>email: <a href="mailto:morgan@marodin.it" target="_blank">morgan@marodin.it</a><br>mobile: +39.3477829069<br></div>
</div>