<div dir="ltr"><div>Have you set up the external group and internal group as required in IPA?<br><br></div>The server you are trying to log into - you have added this to the IPA server using ipa-client-install?<br><div><br><div class="gmail_extra">When you are logged into the server that you want to login to as root (or local user), does `id <a href="mailto:user@ad_domain.com">user@ad_domain.com</a>` give you the results you expected?<br><br></div><div class="gmail_extra">(sorry to ask simple questions, but just in case....)<br></div><div class="gmail_extra"><br></div><div class="gmail_extra">cheers<br></div><div class="gmail_extra">L.<br></div><div class="gmail_extra"><br><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>------<br>The most dangerous phrase in the language is, "We've always done it this way."<br><br>- Grace Hopper<br></div></div></div></div>
<br><div class="gmail_quote">On 11 July 2016 at 13:46, pgb205 <span dir="ltr"><<a href="mailto:pgb205@yahoo.com" target="_blank">pgb205@yahoo.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div style="color:#000;background-color:#fff;font-family:HelveticaNeue,Helvetica Neue,Helvetica,Arial,Lucida Grande,sans-serif;font-size:16px"><div>I have successfully established trust and am able to obtain ticket granting ticket</div><div>kinit <a href="mailto:user@AD_DOMAIN.COM" target="_blank">user@AD_DOMAIN.COM</a></div><div>I can also do kinit <a href="mailto:admin@IPA_DOMAIN.COM" target="_blank">admin@IPA_DOMAIN.COM</a></div><div dir="ltr">ssh <a href="mailto:admin@IPA_DOMAIN.COM" target="_blank">admin@IPA_DOMAIN.COM</a> also works</div><div dir="ltr"><br></div><div dir="ltr">however, ssh <a href="mailto:user@AD_DOMAIN.COM" target="_blank">user@AD_DOMAIN.COM</a> or <a href="mailto:user@ad_domain.com" target="_blank">user@ad_domain.com</a> fails</div><div dir="ltr"><br></div><div dir="ltr">I have checked that there are no hbac rules other then the default allow_all rule</div><div dir="ltr"><br></div><div dir="ltr">in sssd_ssh.log see<br>permission denied (6) error</div><div dir="ltr"> </div><div dir="ltr">in sssd_ipa.domain.log file I see<br>pam_handler_callback 6 permission_denied</div><div dir="ltr"><br></div><div dir="ltr">in sssd_nss.log </div><div><span>Unable to get information from Data Provider</span></div><div><span>Error: 3 Account info lookup failed</span></div><div dir="ltr"></div><div dir="ltr"><span>Will try to return what we have in cache</span></div><div dir="ltr"><span><br></span></div><div dir="ltr"><span>in /var/log/secure</span></div><div dir="ltr"> received for user <a href="mailto:user@AD_DOMAIN.COM" target="_blank">user@AD_DOMAIN.COM</a>: 6 (Permission denied) <span><br></span></div><div dir="ltr"><br></div><div dir="ltr">I can provided full logs if necessary to diagnose the above problem.</div><div dir="ltr"><br></div><div dir="ltr">----------</div><div dir="ltr">Additionally, I would like to be able to login as <b>user </b>not <b><a href="mailto:user@AD_DOMAIN.COM" target="_blank">user@AD_DOMAIN.COM</a></b><br></div><div dir="ltr">My understanding that only thing that I have to change to make this happen is /etc/krb5.conf</div><div dir="ltr">for line <br><div dir="ltr">[libdefaults]</div><div dir="ltr"> default_realm=<a href="http://AD_DOMAN.COM" target="_blank">AD_DOMAN.COM</a> </div><div dir="ltr">and then restarting ipa services.</div><div dir="ltr"><br></div><div dir="ltr">However, when I do this I get failure to restart Samba service</div></div></div></div><br>--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br></blockquote></div><br></div></div></div>