<div dir="ltr">Hi,<div><br></div><div>I'm about to move our FreeIPA platform into production on Monday but I've just noticed a worrying issue with sssd - getent group is not showing group members and id is not showing secondary groups.</div><div><br></div><div>Currently all our servers are configured with sssd using our old LDAP (389-ds) as a backend. It works great, id shows all my secondary groups:</div><div><br></div><div><div><font face="monospace, monospace"># id peter.pakos</font></div><div><font face="monospace, monospace">uid=1396(peter.pakos) gid=511(Engineering) groups=511(Engineering),718(DevOps),701(SSHAllow)</font></div></div><div><br></div><div>After re-configuring sssd to use FreeIPA's LDAP directory, id is only showing primary group, the secondary groups are missing:</div><div><br></div><div><div><font face="monospace, monospace"># id peter.pakos</font></div><div><font face="monospace, monospace">uid=1396(peter.pakos) gid=511(engineering) groups=511(engineering)</font></div></div><div><div><br></div><div>Similarly, getent is not showing group members:</div><div><br></div><div><div><font face="monospace, monospace"># getent group engineering</font></div><div><font face="monospace, monospace">engineering:*:511:</font></div></div><div><br></div><div>Environment:</div><div><br></div><div><div><font face="monospace, monospace"># cat /etc/redhat-release</font></div><div><font face="monospace, monospace">CentOS Linux release 7.2.1511 (Core)</font></div><div><font face="monospace, monospace"># ipa --version</font></div><div><font face="monospace, monospace">VERSION: 4.2.0, API_VERSION: 2.156</font></div></div><div><br></div><div>This is an example sssd.conf file I'm using in my tests:</div><div><br></div><div><pre style="color:rgb(0,0,0);word-wrap:break-word;white-space:pre-wrap"><font face="monospace, monospace">[domain/<a href="http://ipa.wandisco.com">ipa.wandisco.com</a>]
ldap_tls_reqcert = demand
ldap_id_use_start_tls = True
cache_credentials = True
ldap_search_base = cn=accounts,dc=ipa,dc=wandisco,dc=com
ldap_group_search_base = cn=groups,cn=accounts,dc=ipa,dc=wandisco,dc=com
ldap_user_search_base = cn=users,cn=accounts,dc=ipa,dc=wandisco,dc=com
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldaps://<a href="http://shdc01.ipa.wandisco.com">shdc01.ipa.wandisco.com</a>, ldaps://<a href="http://shdc02.ipa.wandisco.com">shdc02.ipa.wandisco.com</a>, ldaps://<a href="http://ashb01.ipa.wandisco.com">ashb01.ipa.wandisco.com</a>, ldaps://<a href="http://ashb02.ipa.wandisco.com">ashb02.ipa.wandisco.com</a>, ldaps://<a href="http://frem01.ipa.wandisco.com">frem01.ipa.wandisco.com</a>
ldap_tls_cacert = /etc/ipa/ca.crt

[sssd]
services = nss, pam
config_file_version = 2
domains = <a href="http://ipa.wandisco.com">ipa.wandisco.com</a>

[nss]

[pam]

[sudo]

[autofs]

[ssh]</font></pre></div><div>Am I missing anything in the sssd configuration?</div><div><br></div><div>Any advice would be greatly appreciated.</div><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Kind regards,<div> Peter Pakos</div></div></div>
</div></div>