<div dir="ltr"><div><div><div><div><div><div><div><div><div><div><div><div><div>Hola,<br><br></div>Centos 7, up to date.<br><br>[root@linuxidm ~]# ipa --version<br>VERSION: 4.2.0, API_VERSION: 2.156<br><br></div>One way trust is successfully established, can login with <br><br></div>ssh username@domain1.com@<a href="http://server1.domain2.com" target="_blank">server1.domain2.com</a><br><br></div><div>Am testing to get HBAC to work.<br><br></div></div></div></div></div></div></div></div>I've noticed that with the Allow All rule in effect, the following set up is sufficient:<br><br></div>add external group "ad_external"<br></div>add internal group, "ad_internal", add ad_external as a group member of ad_internal<br><div><div><div><div><div><div><br></div><div>AD users can now successfully login to any server.<br><br></div><div>When I tried to set up an HBAC, I couldn't get that set up to work, I needed to complete the extra step of adding AD users explicitly to the "external member" group of the external group.<br><br></div><div>I also note that this seems to be explicitly user based, not group based? IE, I can add <a href="mailto:lachlan@domain1.com">lachlan@domain1.com</a> to the external members of ad_external and that works, but adding the group <a href="mailto:server_admins@domain1.com">server_admins@domain1.com</a> (as seen in `id <a href="mailto:lachlan@domain1.com">lachlan@domain1.com</a>`) doesn't allow all members access.<br><br></div><div>Does that sound correct? <br></div><div><div><br></div><div>L.<br></div><div><br><div><div><div><div><div><div><div><br clear="all"><div><div><div><div data-smartmail="gmail_signature"><div dir="ltr"><div>------<br>The most dangerous phrase in the language is, "We've always done it this way."<br><br>- Grace Hopper<br></div></div></div></div>
</div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>