<div dir="ltr">HI <div><br></div><div>while explaning here it went wrong. actually i did is"</div><h3 style="margin:10px 0px 0px;font-family:'Venturis Sans','Open Sans',sans-serif;font-weight:normal;line-height:1.17em;color:rgb(85,87,83);padding-top:0.2em"><span class="" id="Add_external_group_to_POSIX_group">Added external group to POSIX group"</span></h3></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 29, 2016 at 6:56 PM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, Apr 29, 2016 at 06:32:28PM +0300, Ben .T.George wrote:<br>
> HI,<br>
><br>
> "The other is that the groups might not show up on the client (do they?)"<br>
<br>
</span>id $user.<br>
<br>
But I think Alexander noticed the root cause.<br>
<div class="HOEnZb"><div class="h5"><br>
><br>
> how can i check that.<br>
><br>
> Thanks<br>
> Ben<br>
><br>
> On Fri, Apr 29, 2016 at 5:59 PM, Jakub Hrozek <<a href="mailto:jhrozek@redhat.com">jhrozek@redhat.com</a>> wrote:<br>
><br>
> > On Fri, Apr 29, 2016 at 05:38:30PM +0300, Ben .T.George wrote:<br>
> > > Hi List,<br>
> > ><br>
> > > I have working setup of one AD, one IPA server and one client server. by<br>
> > > default i can login to client server by using AD username.<br>
> > ><br>
> > > i want to apply HBAC rules against this client server. For that i have<br>
> > done<br>
> > > below steps.<br>
> > ><br>
> > > 1. created External group in IPA erver<br>
> > > 2. created local POSIX group n IPA server<br>
> > > 3. Added AD group to external group<br>
> > > 4. added POSIX group to external group.<br>
> > ><br>
> > > After that  have created HBAC rule by adding both local and external IPA<br>
> > > groups, added sshd as service and selected service group as sudo.<br>
> > ><br>
> > > i have applied this HBAC rule to client server and from web UI and while<br>
> > > testing HBAC from web, i am getting access denied .<br>
> ><br>
> > Sorry, not enough info.<br>
> ><br>
> > One guess would be that you need to add the "sudo-i" service as well.<br>
> > The other is that the groups might not show up on the client (do they?)<br>
> ><br>
> > Anyway, it might be good idea to follow<br>
> > <a href="https://fedorahosted.org/sssd/wiki/Troubleshooting" rel="noreferrer" target="_blank">https://fedorahosted.org/sssd/wiki/Troubleshooting</a><br>
> ><br>
> > --<br>
> > Manage your subscription for the Freeipa-users mailing list:<br>
> > <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> > Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
> ><br>
</div></div></blockquote></div><br></div>