<div dir="ltr"><div><div><div><div>Hey,<br><br></div>While hunting this sssd/hbac/AD user problem, I noticed in the selinux_child.log a lot of errors that look like this:<br><br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [libsemanage] (0x0020): could not parse seuser record<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [libsemanage] (0x0020): could not cache file database<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [libsemanage] (0x0020): could not enter read-only section<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [get_seuser] (0x0020): Cannot query for galaxy<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [libsemanage] (0x0020): expected character ':', but found 'j' (/etc/selinux/targeted/modules/tmp//seusers.final: 10):<br>ellul jason@petermac.org.au:unconfined_u:s0-s0:c0.c1023<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [libsemanage] (0x0020): could not parse seuser record<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [libsemanage] (0x0020): could not cache file database<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [libsemanage] (0x0020): could not enter read-only section<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [set_seuser] (0x0020): Cannot verify the SELinux user<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [main] (0x0020): Cannot set SELinux login context.<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [main] (0x0020): selinux_child failed!<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [main] (0x0400): selinux_child started.<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [main] (0x0400): context initialized<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [main] (0x0400): performing selinux operations<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [libsemanage] (0x0020): expected character ':', but found 'j' (/etc/selinux/targeted/modules/active//seusers.final: 10):<br>ellul jason@petermac.org.au:unconfined_u:s0-s0:c0.c1023<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [libsemanage] (0x0020): could not parse seuser record<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [libsemanage] (0x0020): could not cache file database<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [libsemanage] (0x0020): could not enter read-only section<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [get_seuser] (0x0020): Cannot query for <a href="mailto:simpsonlachlan@petermac.org.au">simpsonlachlan@petermac.org.au</a><br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [libsemanage] (0x0020): expected character ':', but found 'j' (/etc/selinux/targeted/modules/tmp//seusers.final: 10):<br>ellul jason@petermac.org.au:unconfined_u:s0-s0:c0.c1023<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [libsemanage] (0x0020): could not parse seuser record<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [libsemanage] (0x0020): could not cache file database<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [libsemanage] (0x0020): could not enter read-only section<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [set_seuser] (0x0020): Cannot verify the SELinux user<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [main] (0x0020): Cannot set SELinux login context.<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [main] (0x0020): selinux_child failed!<br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [main] (0x0400): selinux_child started.<br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [main] (0x0400): context initialized<br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [main] (0x0400): performing selinux operations<br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [libsemanage] (0x0020): expected character ':', but found 'j' (/etc/selinux/targeted/modules/active//seusers.final: 10):<br>ellul jason@petermac.org.au:unconfined_u:s0-s0:c0.c1023<br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [libsemanage] (0x0020): could not parse seuser record<br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [libsemanage] (0x0020): could not cache file database<br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [libsemanage] (0x0020): could not enter read-only section<br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [get_seuser] (0x0020): Cannot query for madhamshettiwar <a href="mailto:piyu@petermac.org.au">piyu@petermac.org.au</a><br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [libsemanage] (0x0020): expected character ':', but found 'j' (/etc/selinux/targeted/modules/tmp//seusers.final: 10):<br><br><br><br></div>We have SELinux disabled on all of our servers, but we hadn't disabled this check in sssd.conf. So we enabled it in sssd.conf and everything worked fine.<br><br></div>But it should be noted that this check seems to be failing on a space in the AD user names.<br><br></div>(I know, spaces in user names is weird, wrong and embarrassing, but it's not my department. A fantastic example of Technical Debt and why project planning and testing are best done before implementation.)<br><div><div><div><br></div><div>cheers<br></div><div>L.<br clear="all"></div><div><div><div><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>------<br>The most dangerous phrase in the language is, "We've always done it this way."<br><br>- Grace Hopper<br></div></div></div></div>
</div></div></div></div></div></div>