<div dir="ltr"><br><div class="gmail_extra">On 11 July 2016 at 16:44, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">On Mon, 11 Jul 2016, Lachlan Musicman wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Hola,<br>
<br>
Centos 7, up to date.<br>
<br>
[root@linuxidm ~]# ipa --version<br>
VERSION: 4.2.0, API_VERSION: 2.156<br>
<br>
One way trust is successfully established, can login with<br>
<br>
ssh username@domain1.com@<a href="http://server1.domain2.com" rel="noreferrer" target="_blank">server1.domain2.com</a><br>
<br>
Am testing to get HBAC to work.<br>
<br>
I've noticed that with the Allow All rule in effect, the following set up<br>
is sufficient:<br>
<br>
add external group "ad_external"<br>
add internal group, "ad_internal", add ad_external as a group member of<br>
ad_internal<br>
<br>
AD users can now successfully login to any server.<br>
<br>
When I tried to set up an HBAC, I couldn't get that set up to work, I<br>
needed to complete the extra step of adding AD users explicitly to the<br>
"external member" group of the external group.<br>
<br>
I also note that this seems to be explicitly user based, not group based?<br>
IE, I can add <a href="mailto:lachlan@domain1.com" target="_blank">lachlan@domain1.com</a> to the external members of ad_external<br>
and that works, but adding the group <a href="mailto:server_admins@domain1.com" target="_blank">server_admins@domain1.com</a> (as seen in<br>
`id <a href="mailto:lachlan@domain1.com" target="_blank">lachlan@domain1.com</a>`) doesn't allow all members access.<br>
<br>
Does that sound correct?<br>
</blockquote></span>
No, it does not.<br>
HBAC evaluation and external group merging/resolution is done by SSSD.<br>
Use <a href="https://fedorahosted.org/sssd/wiki/Troubleshooting" rel="noreferrer" target="_blank">https://fedorahosted.org/sssd/wiki/Troubleshooting</a> to produce logs<br>
that can help understanding what happens there.<br>
<br>
What SSSD version do you have on both IPA client and IPA server?<span class=""></span></blockquote><div><br><br></div><div>1.13.0 on both client and server.<br><br></div><div>To be honest, we have ratcheted up the logs and it doesn't help that much. We just got lots of "unsupported PAM command [249]"<br><br></div><div>Cheers<br></div><div>L. <br></div></div></div></div>