<div dir="ltr"><div><div>Previously we did have the default_domain_suffix set, but we had to unset it. I can't remember why we had to - something to do with ownership/permissions and our filesystem (IBM v7000) not playing nice iirc. We really wanted to use the dds => the researchers are complaining of broken brains due to the new concept of "ssh user1@domain.com@<a href="http://ipa.domain.com">ipa.domain.com</a>". I will need to teach ssh config.<br><br></div>Cheers<br></div>L.<br><div><div><br><br></div></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>------<br>The most dangerous phrase in the language is, "We've always done it this way."<br><br>- Grace Hopper<br></div></div></div></div>
<br><div class="gmail_quote">On 15 July 2016 at 17:56, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, Jul 15, 2016 at 01:07:00PM +1000, Lachlan Musicman wrote:<br>
> I've updated all the relevant hosts and the FreeIPA server to the COPR sssd<br>
> 1.14.0 release and the problem seems to have disappeared.<br>
<br>
</span>Great, but please keep an eye on the machine, the 1.14 branch is still<br>
kindof fresh and we did a lot of changes.<br>
<br>
About the HBAC issue, did you use the default_domain_suffix previously?<br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</div></div></blockquote></div><br></div>