<div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Thu, Feb 11, 2016 at 3:21 AM Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com">abokovoy@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Wed, 10 Feb 2016, Mike Kelly wrote:<br>
>On Wed, Feb 10, 2016 at 3:19 AM Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>><br>
>wrote:<br>
><br>
>> On Wed, 10 Feb 2016, Mike Kelly wrote:<br>
>><br>
>> >Is there some extra logging I can turn on to see why this ID View isn't<br>
>> >being applied like I would expect? Or perhaps some extra bit of<br>
>> >configuration I missed?<br>
>> Level 7 or 9 debug logs in SSSD on the client might help.<br>
>><br>
><br>
>Thanks.<br>
><br>
>Here's what looks like the relevant bits in /var/log/sssd/sssd_nss.log,<br>
>after I ran `sss_cache -E ; id pioto`:<br>
Please provide content of sssd_<domain>.log, this is where the actual<br>
work is done when user information is obtained and processed.<br>
sssd_nss.log is merely a requestor.<br></blockquote><div><br></div><div> Thanks. Here's what is hopefully the relevant lines:</div><div><br></div><div><div><br></div><div>(Thu Feb 11 06:05:13 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sdap_search_user_next_base] (0x0400): Searching for users with base [cn=accounts,dc=home,dc=pioto,dc=org]</div><div>(Thu Feb 11 06:05:13 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sdap_get_generic_ext_step] (0x0400): calling ldap_search_ext with [(&(uid=pioto)(objectclass=posixAccount)(uid=*)(&(uidNumber=*)(!(uidNumber=0</div><div>))))][cn=accounts,dc=home,dc=pioto,dc=org].</div></div><div><div>(Thu Feb 11 06:05:13 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sdap_parse_entry] (0x1000): OriginalDN: [uid=pioto,cn=users,cn=accounts,dc=home,dc=pioto,dc=org].</div><div>(Thu Feb 11 06:05:13 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sdap_get_generic_op_finished] (0x0400): Search result: Success(0), no errmsg set</div><div>(Thu Feb 11 06:05:13 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sdap_search_user_process] (0x0400): Search for users, returned 1 results.</div></div><div><div>(Thu Feb 11 06:05:13 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sdap_save_user] (0x0400): Save user</div><div>(Thu Feb 11 06:05:13 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sdap_attrs_get_sid_str] (0x1000): No [objectSIDString] attribute. [0][Success]</div><div>(Thu Feb 11 06:05:13 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sdap_get_primary_name] (0x0400): Processing object pioto</div><div>(Thu Feb 11 06:05:13 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sdap_save_user] (0x0400): Processing user pioto</div><div>(Thu Feb 11 06:05:13 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sdap_idmap_domain_has_algorithmic_mapping] (0x0080): Could not parse domain SID from [(null)]</div><div>(Thu Feb 11 06:05:13 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sdap_save_user] (0x0400): Adding original memberOf attributes to [pioto].</div><div>(Thu Feb 11 06:05:13 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sdap_save_user] (0x0400): Adding user principal [<a href="mailto:pioto@HOME.PIOTO.ORG">pioto@HOME.PIOTO.ORG</a>] to attributes of [pioto].</div><div>(Thu Feb 11 06:05:13 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sdap_save_user] (0x0400): Storing info for user pioto</div><div>(Thu Feb 11 06:05:13 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [acctinfo_callback] (0x0100): Request processed. Returned 0,0,Success (Success)</div></div><div><br></div><div>-- so, looks like i don't see any evidence of an id view being searched for or applied?</div><div><br></div><div><div>(Thu Feb 11 06:05:13 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [be_get_account_info] (0x0200): Got request for [0x1002][1][idnumber=1403400001]</div></div><div><div>(Thu Feb 11 06:05:13 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sdap_get_groups_next_base] (0x0400): Searching for groups with base [cn=accounts,dc=home,dc=pioto,dc=org]</div><div>(Thu Feb 11 06:05:13 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sdap_get_generic_ext_step] (0x0400): calling ldap_search_ext with [(&(gidNumber=1403400001)(|(objectClass=ipaUserGroup)(objectClass=posixGroup</div><div>))(cn=*)(&(gidNumber=*)(!(gidNumber=0))))][cn=accounts,dc=home,dc=pioto,dc=org].</div></div><div><br></div><div>-- and here, looks like nss is requesting the details from my FreeIPA default GID...</div><div><br></div><div>The only log entries I see in /var/log/sssd/sssd_<domain>.log that are related to views seem to be from when I last restarted sssd:</div><div><br></div><div><div>(Wed Feb 10 13:09:52 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [dp_get_options] (0x0400): Option ipa_views_search_base has no value</div><div>(Wed Feb 10 13:09:52 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [ipa_get_id_options] (0x0100): Option ipa_views_search_base set to cn=views,cn=accounts,dc=home,dc=pioto,dc=org</div><div>(Wed Feb 10 13:09:52 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [common_parse_search_base] (0x0100): Search base added: [IPA_VIEWS][cn=views,cn=accounts,dc=home,dc=pioto,dc=org][SUBTREE][]</div><div>(Wed Feb 10 13:09:52 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sdap_get_map] (0x0400): Option ipa_view_class has value nsContainer</div><div>(Wed Feb 10 13:09:52 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sdap_get_map] (0x0400): Option ipa_view_name has value cn</div><div>(Wed Feb 10 13:09:52 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [sssm_ipa_id_init] (0x0020): Cannot find view name in the cache. Will do online lookup later.</div><div>(Wed Feb 10 13:09:52 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [dp_copy_options_ex] (0x0400): Option ipa_views_search_base has value cn=views,cn=accounts,dc=home,dc=pioto,dc=org</div><div>(Wed Feb 10 13:09:52 2016) [sssd[be[<a href="http://home.pioto.org">home.pioto.org</a>]]] [dp_copy_options_ex] (0x0400): Option ipa_views_search_base has value cn=views,cn=accounts,dc=home,dc=pioto,dc=org</div></div><div><br></div><div>----</div><div><br></div><div>When I search LDAP under that search base, I get 3 DNs I'd expect to see:</div><div><br></div><div><div>dn: cn=views,cn=accounts,dc=home,dc=pioto,dc=org</div><div>dn: cn=oldservers,cn=views,cn=accounts,dc=home,dc=pioto,dc=org<br></div></div><div><div><div>dn: ipaanchoruuid=:IPA:home.pioto.org:fc07446e-ce52-11e5-8a98-52540092d8fc,cn=</div><div> oldservers,cn=views,cn=accounts,dc=home,dc=pioto,dc=org</div><div><br></div></div></div><div>And, under the servers tree, I see a corresponding ipaAssignedIDView:</div><div><br></div><div><div>dn: fqdn=<a href="http://data.home.pioto.org">data.home.pioto.org</a>,cn=computers,cn=accounts,dc=home,dc=pioto,dc=org</div><div>ipaAssignedIDView: cn=oldservers,cn=views,cn=accounts,dc=home,dc=pioto,dc=org</div><div><br></div></div></div></div><div dir="ltr">-- <br></div><p dir="ltr">Mike Kelly</p>