<div dir="ltr"><div><div>Sure - I've got tomorrow off, so it will be Friday morning.<br><br></div>cheers<br></div>L.<br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>------<br>The most dangerous phrase in the language is, "We've always done it this way."<br><br>- Grace Hopper<br></div></div></div></div>
<br><div class="gmail_quote">On 20 July 2016 at 17:14, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, Jul 20, 2016 at 09:28:06AM +1000, Lachlan Musicman wrote:<br>
> On 19 July 2016 at 16:40, Jakub Hrozek <<a href="mailto:jhrozek@redhat.com">jhrozek@redhat.com</a>> wrote:<br>
><br>
> > On Tue, Jul 19, 2016 at 11:26:02AM +1000, Lachlan Musicman wrote:<br>
> > > I think the thing that frustrates the most is that id <a href="mailto:user@domain.com">user@domain.com</a> is<br>
> > > returning correct data on both but they can't login....and I can't even<br>
> > > show that this is the case because now they can login. Difficult to<br>
> > > reproduce :/<br>
> ><br>
> > Debugging from HBAC should at least tell you why the rules didn't<br>
> > match...<br>
> ><br>
><br>
><br>
> Sorry, I should have been clear - the issue is exactly the same. HBAC<br>
> rejected the user because they weren't in the correct groups, but sssd<br>
> hadn't got the correct number of groups from the AD server, and had missed<br>
> the group in question.<br>
<br>
</span>Do you have the logs from the server and the client? If yes, feel free<br>
to send them in private mail if they are confidential, I'll try to<br>
find something in them.<br>
<br>
Specifying which groups are missing would help as well.<br>
</blockquote></div><br></div>