<div dir="ltr"><div><div><div><div>Alex, Sumit,<br><br></div>Which log levels would you recommend for sssd to help debug this issue?<br><br></div>We've been using 7, but I just realised that it's not an increasing scale but bitmasked...<br><br></div>cheers<br></div>L.<br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>------<br>The most dangerous phrase in the language is, "We've always done it this way."<br><br>- Grace Hopper<br></div></div></div></div>
<br><div class="gmail_quote">On 11 July 2016 at 17:15, Sumit Bose <span dir="ltr"><<a href="mailto:sbose@redhat.com" target="_blank">sbose@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Mon, Jul 11, 2016 at 04:55:37PM +1000, Lachlan Musicman wrote:<br>
> On 11 July 2016 at 16:44, Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com">abokovoy@redhat.com</a>> wrote:<br>
><br>
> > On Mon, 11 Jul 2016, Lachlan Musicman wrote:<br>
> ><br>
> >> Hola,<br>
> >><br>
> >> Centos 7, up to date.<br>
> >><br>
> >> [root@linuxidm ~]# ipa --version<br>
> >> VERSION: 4.2.0, API_VERSION: 2.156<br>
> >><br>
> >> One way trust is successfully established, can login with<br>
> >><br>
> >> ssh username@domain1.com@<a href="http://server1.domain2.com" rel="noreferrer" target="_blank">server1.domain2.com</a><br>
> >><br>
> >> Am testing to get HBAC to work.<br>
> >><br>
> >> I've noticed that with the Allow All rule in effect, the following set up<br>
> >> is sufficient:<br>
> >><br>
> >> add external group "ad_external"<br>
> >> add internal group, "ad_internal", add ad_external as a group member of<br>
> >> ad_internal<br>
> >><br>
> >> AD users can now successfully login to any server.<br>
> >><br>
> >> When I tried to set up an HBAC, I couldn't get that set up to work, I<br>
> >> needed to complete the extra step of adding AD users explicitly to the<br>
> >> "external member" group of the external group.<br>
<br>
</span>yes, this is expected you either have to add AD users or groups to the<br>
external groups.<br>
<span class=""><br>
> >><br>
> >> I also note that this seems to be explicitly user based, not group based?<br>
> >> IE, I can add <a href="mailto:lachlan@domain1.com">lachlan@domain1.com</a> to the external members of ad_external<br>
> >> and that works, but adding the group <a href="mailto:server_admins@domain1.com">server_admins@domain1.com</a> (as seen<br>
> >> in<br>
> >> `id <a href="mailto:lachlan@domain1.com">lachlan@domain1.com</a>`) doesn't allow all members access.<br>
<br>
</span>Since it looks you are using FreeIPA 4.2 you might hit<br>
<a href="https://fedorahosted.org/freeipa/ticket/5573" rel="noreferrer" target="_blank">https://fedorahosted.org/freeipa/ticket/5573</a> . But SSSD logs, especially<br>
the part where the HBAC rules are evaluated would help to understand the<br>
issue better.<br>
<span class=""><br>
> >><br>
> >> Does that sound correct?<br>
> >><br>
> > No, it does not.<br>
> > HBAC evaluation and external group merging/resolution is done by SSSD.<br>
> > Use <a href="https://fedorahosted.org/sssd/wiki/Troubleshooting" rel="noreferrer" target="_blank">https://fedorahosted.org/sssd/wiki/Troubleshooting</a> to produce logs<br>
> > that can help understanding what happens there.<br>
> ><br>
> > What SSSD version do you have on both IPA client and IPA server?<br>
><br>
><br>
><br>
> 1.13.0 on both client and server.<br>
><br>
> To be honest, we have ratcheted up the logs and it doesn't help that much.<br>
> We just got lots of "unsupported PAM command [249]"<br>
<br>
</span>This is unrelated, I assume this happens when trying to store the hashed<br>
password to the cache. This message is remove in newer releases.<br>
<br>
bye,<br>
Sumit<br>
<br>
><br>
> Cheers<br>
> L.<br>
<span class="HOEnZb"><font color="#888888"><br>
> --<br>
> Manage your subscription for the Freeipa-users mailing list:<br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
<br>
</font></span></blockquote></div><br></div>