<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 17 July 2016 at 09:03, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:</div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
Your sssd configuration does not mention what DN is used to bind to the<br>
LDAP server to retrieve the data. This means you are using anonymous<br>
bind. Since FreeIPA 4.0 there is a number of attributes that are not<br>
available to anonymous binds, including 'member' and 'memberof'. Thus,<br>
SSSD does not see membership information when using anonymous binds.<br>
<br>
In normally enrolled IPA clients host/ipa.client@IPA.REALM Kerberos<br>
principal is used to bind to LDAP with GSSAPI when SSSD talks to LDAP<br>
server, thus all binds are authenticated and 'member'/'memberof'<br>
attributes are accessible.<br>
<br>
So you either need to enroll machines to IPA and switch your sssd.conf<br>
to use 'ipa' providers instead of ldap, or define a system account that<br>
can be used to bind to LDAP by your sssd clients. In short term<br>
perspective that would probably be an easier fix. For the latter see<br>
sssd-ldap(5), ldap_default_bind_dn, ldap_default_authtok options.</blockquote><div><br></div><div>Bingo!</div><div><br></div><div>Adding the following lines to /etc/sssd/sssd.conf has fixed the issue for us:</div><div><br></div><div><div><font face="monospace, monospace">ldap_schema = rfc2307bis<br></font></div></div><div><font face="monospace, monospace">ldap_default_bind_dn = *dn*<br></font></div><div><font face="monospace, monospace">ldap_default_authtok = *password*</font><br></div><div><br></div><div>Many thanks!</div><div> </div></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Kind regards,<div> Peter Pakos</div></div></div>
</div></div>