<div dir="ltr">surprisingly i have created some local IPA users and added to same HBAC rule, and removed AD grop ad applied this rule to client, and that got worked. <div><br></div><div>How can i make this AD group with HBAC working?</div><div><br></div><div>Regards,</div><div>Ben</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 29, 2016 at 7:12 PM, Ben .T.George <span dir="ltr"><<a href="mailto:bentech4you@gmail.com" target="_blank">bentech4you@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">HI<div><br></div><div>If i disable <a href="https://freeipa.idm.local/ipa/ui/#allow_all" target="_blank">allow_all</a> rule, i cannot able to login to client machine.</div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 29, 2016 at 7:05 PM, Ben .T.George <span dir="ltr"><<a href="mailto:bentech4you@gmail.com" target="_blank">bentech4you@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">HI <div><br></div><div>actually i have added Domain Admins and the user ben is not part of Domain Admins. But when i login to client machine, i am getting below</div><div><br></div><div><div>-sh-4.2$ id</div><div>uid=1827801104(<a href="mailto:ben@kwttestdc.com.kw" target="_blank">ben@kwttestdc.com.kw</a>) gid=1827801104(<a href="mailto:ben@kwttestdc.com.kw" target="_blank">ben@kwttestdc.com.kw</a>) groups=1827801104(<a href="mailto:ben@kwttestdc.com.kw" target="_blank">ben@kwttestdc.com.kw</a>),1827800513(<b>domain <a href="mailto:users@kwttestdc.com.kw" target="_blank">users@kwttestdc.com.kw</a></b>),1827801105(sudo <a href="mailto:admins@kwttestdc.com.kw" target="_blank">admins@kwttestdc.com.kw</a>)</div></div><div><br></div><div><br></div></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 29, 2016 at 6:58 PM, Ben .T.George <span dir="ltr"><<a href="mailto:bentech4you@gmail.com" target="_blank">bentech4you@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">HI <div><br></div><div>while explaning here it went wrong. actually i did is"</div><h3 style="margin:10px 0px 0px;font-family:'Venturis Sans','Open Sans',sans-serif;font-weight:normal;line-height:1.17em;color:rgb(85,87,83);padding-top:0.2em"><span>Added external group to POSIX group"</span></h3></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 29, 2016 at 6:56 PM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On Fri, Apr 29, 2016 at 06:32:28PM +0300, Ben .T.George wrote:<br>
> HI,<br>
><br>
> "The other is that the groups might not show up on the client (do they?)"<br>
<br>
</span>id $user.<br>
<br>
But I think Alexander noticed the root cause.<br>
<div><div><br>
><br>
> how can i check that.<br>
><br>
> Thanks<br>
> Ben<br>
><br>
> On Fri, Apr 29, 2016 at 5:59 PM, Jakub Hrozek <<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>> wrote:<br>
><br>
> > On Fri, Apr 29, 2016 at 05:38:30PM +0300, Ben .T.George wrote:<br>
> > > Hi List,<br>
> > ><br>
> > > I have working setup of one AD, one IPA server and one client server. by<br>
> > > default i can login to client server by using AD username.<br>
> > ><br>
> > > i want to apply HBAC rules against this client server. For that i have<br>
> > done<br>
> > > below steps.<br>
> > ><br>
> > > 1. created External group in IPA erver<br>
> > > 2. created local POSIX group n IPA server<br>
> > > 3. Added AD group to external group<br>
> > > 4. added POSIX group to external group.<br>
> > ><br>
> > > After that  have created HBAC rule by adding both local and external IPA<br>
> > > groups, added sshd as service and selected service group as sudo.<br>
> > ><br>
> > > i have applied this HBAC rule to client server and from web UI and while<br>
> > > testing HBAC from web, i am getting access denied .<br>
> ><br>
> > Sorry, not enough info.<br>
> ><br>
> > One guess would be that you need to add the "sudo-i" service as well.<br>
> > The other is that the groups might not show up on the client (do they?)<br>
> ><br>
> > Anyway, it might be good idea to follow<br>
> > <a href="https://fedorahosted.org/sssd/wiki/Troubleshooting" rel="noreferrer" target="_blank">https://fedorahosted.org/sssd/wiki/Troubleshooting</a><br>
> ><br>
> > --<br>
> > Manage your subscription for the Freeipa-users mailing list:<br>
> > <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> > Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
> ><br>
</div></div></blockquote></div><br></div>
</div></div></blockquote></div><br></div>
</div></div></blockquote></div><br></div>
</div></div></blockquote></div><br></div>