<div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Wed, Feb 10, 2016 at 3:19 AM Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com">abokovoy@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Wed, 10 Feb 2016, Mike Kelly wrote:<br><br>
>Is there some extra logging I can turn on to see why this ID View isn't<br>
>being applied like I would expect? Or perhaps some extra bit of<br>
>configuration I missed?<br>
Level 7 or 9 debug logs in SSSD on the client might help.<br></blockquote><div><br></div><div>Thanks.</div><div><br></div><div>Here's what looks like the relevant bits in /var/log/sssd/sssd_nss.log, after I ran `sss_cache -E ; id pioto`:</div><div><br></div><div>







<p class="p1"><span class="s1">(Wed Feb 10 15:06:45 2016) [sssd[nss]] [nss_cmd_getbynam] (0x0400): Running command [17] with input [pioto].</span></p>
<p class="p1"><span class="s1">(Wed Feb 10 15:06:45 2016) [sssd[nss]] [sss_parse_name_for_domains] (0x0200): name 'pioto' matched without domain, user is pioto</span></p>
<p class="p1"><span class="s1">(Wed Feb 10 15:06:45 2016) [sssd[nss]] [nss_cmd_getbynam] (0x0100): Requesting info for [pioto] from [<ALL>]</span></p>
<p class="p1"><span class="s1">(Wed Feb 10 15:06:45 2016) [sssd[nss]] [nss_cmd_getpwnam_search] (0x0100): Requesting info for [<a href="mailto:pioto@home.pioto.org">pioto@home.pioto.org</a>]</span></p>
<p class="p1"><span class="s1">(Wed Feb 10 15:06:45 2016) [sssd[nss]] [get_dp_name_and_id] (0x0400): Not a LOCAL view, continuing with provided values.</span></p>
<p class="p1"><span class="s1">(Wed Feb 10 15:06:45 2016) [sssd[nss]] [sss_dp_issue_request] (0x0400): Issuing request for [<a href="mailto:0x7f9b482220e0%3A1%3Apioto@home.pioto.org">0x7f9b482220e0:1:pioto@home.pioto.org</a>]</span></p>
<p class="p1"><span class="s1">(Wed Feb 10 15:06:45 2016) [sssd[nss]] [sss_dp_get_account_msg] (0x0400): Creating request for [<a href="http://home.pioto.org">home.pioto.org</a>][4097][1][name=pioto]</span></p>
<p class="p1"><span class="s1">(Wed Feb 10 15:06:45 2016) [sssd[nss]] [sss_dp_internal_get_send] (0x0400): Entering request [<a href="mailto:0x7f9b482220e0%3A1%3Apioto@home.pioto.org">0x7f9b482220e0:1:pioto@home.pioto.org</a>]</span></p>
<p class="p1"><span class="s1">(Wed Feb 10 15:06:45 2016) [sssd[nss]] [sss_dp_get_reply] (0x1000): Got reply from Data Provider - DP error code: 0 errno: 0 error message: Success (Success)</span></p>
<p class="p1"><span class="s1">(Wed Feb 10 15:06:45 2016) [sssd[nss]] [nss_cmd_getpwnam_search] (0x0100): Requesting info for [<a href="mailto:pioto@home.pioto.org">pioto@home.pioto.org</a>]</span></p>
<p class="p1"><span class="s1">(Wed Feb 10 15:06:45 2016) [sssd[nss]] [nss_cmd_getpwnam_search] (0x0400): Returning info for user [<a href="mailto:pioto@home.pioto.org">pioto@home.pioto.org</a>]</span></p>
<p class="p1"><span class="s1">(Wed Feb 10 15:06:45 2016) [sssd[nss]] [sss_dp_req_destructor] (0x0400): Deleting request: [<a href="mailto:0x7f9b482220e0%3A1%3Apioto@home.pioto.org">0x7f9b482220e0:1:pioto@home.pioto.org</a>]</span></p>
<p class="p1"><span class="s1">(Wed Feb 10 15:06:45 2016) [sssd[nss]] [nss_cmd_getbyid] (0x0400): Running command [34] with id [1403400001].</span></p>
<p class="p1"><span class="s1">(Wed Feb 10 15:06:45 2016) [sssd[nss]] [nss_cmd_getgrgid_search] (0x0100): Requesting info for [<a href="mailto:1403400001@home.pioto.org">1403400001@home.pioto.org</a>]</span></p><p class="p1"><span class="s1">----</span></p><p class="p1">So, if I'm reading that right, it looks like we first query the server to find the user with name 'pioto', and then get back a response containing my IPA-assigned UID, and do a further lookup on that... it mentions "Not a LOCAL view, ...", but I'm not sure that's related?<br></p></div><div>So, I wonder if there's some bit of client-side configuration that I'm missing? But, the bit that I see in /var/log/sssd/sssd_home.pioto.org.log seems to match up with what I can see in LDAP:</div><div><br></div><div>(Wed Feb 10 13:09:52 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [dp_copy_options_ex] (0x0400): Option ipa_views_search_base has value cn=views,cn=accounts,dc=home,dc=pioto,dc=org<br></div><div> </div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
>I'm running a pair of CentOS 7 boxes, one acting as the FreeIPA server, and<br>
>the other is the "legacy" box I want to shim FreeIPA into...<br>
ID Views are only applied on machines where you have SSSD that supports<br>
them, just to make sure.<br></blockquote><div><br></div><div>Thanks. Both server and client are running:</div><div><br></div><div>$ sssd --version</div><div>1.13.0</div><div> </div></div></div><div dir="ltr">-- <br></div><p dir="ltr">Mike Kelly</p>