<div dir="ltr"><br><div class="gmail_extra"><div class="gmail_quote">On 19 July 2016 at 16:40, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">On Tue, Jul 19, 2016 at 11:26:02AM +1000, Lachlan Musicman wrote:<br>
> I think the thing that frustrates the most is that id <a href="mailto:user@domain.com">user@domain.com</a> is<br>
> returning correct data on both but they can't login....and I can't even<br>
> show that this is the case because now they can login. Difficult to<br>
> reproduce :/<br>
<br>
</span>Debugging from HBAC should at least tell you why the rules didn't<br>
match...<br></blockquote><div><br><br></div><div>Sorry, I should have been clear - the issue is exactly the same. HBAC rejected the user because they weren't in the correct groups, but sssd hadn't got the correct number of groups from the AD server, and had missed the group in question.<br><br></div><div>This is the user that reported the issue yesterday morning:<br></div><div><br></div><div>[root@vmpr-linuxidm ~]# id "lupat richard"@<a href="http://petermac.org.au">petermac.org.au</a> | tr "," "\n" | wc -l<br>22<br><br></div><div>Here are the relevant lines from the log.<br></div><div><br> (Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [hbac_attrs_to_rule] (0x1000): Processing rule [Computing Cluster]<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [hbac_user_attrs_to_rule] (0x1000): Processing users for rule [Computing Cluster]<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [hbac_service_attrs_to_rule] (0x1000): Processing PAM services for rule [Computing Cluster]<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [hbac_thost_attrs_to_rule] (0x1000): Processing target hosts for rule [Computing Cluster]<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [hbac_shost_attrs_to_rule] (0x0400): Processing source hosts for rule [Computing Cluster]<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [hbac_eval_user_element] (0x1000): [12] groups for [Lupat Richard]<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x1000): Parsing CN=.Research Bioinformatics Students Reading Group,OU=Distribution Groups,OU=Research,OU=User Accounts,OU=User Accounts,DC=petermac,DC=org,DC=au<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x0020): Expected cn in second component, got OU<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x1000): Parsing CN=.Research Assistants,OU=Distribution Groups,OU=Research,OU=User Accounts,OU=User Accounts,DC=petermac,DC=org,DC=au<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x0020): Expected cn in second component, got OU<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x1000): Parsing CN=Bioinf-Cluster,OU=Security Groups,DC=petermac,DC=org,DC=au<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x0020): Expected cn in second component, got OU<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x1000): Parsing CN=External - Exchange 2010 Users,OU=SOE & IT,OU=Security Groups,DC=petermac,DC=org,DC=au<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x0020): Expected cn in second component, got OU<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x1000): Parsing CN=VPN Access - General,OU=Security Groups,DC=petermac,DC=org,DC=au<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x0020): Expected cn in second component, got OU<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x1000): Parsing CN=.Mac Users,OU=!Exchange Distribution Groups,OU=User Accounts,DC=petermac,DC=org,DC=au<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x0020): Expected cn in second component, got OU<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x1000): Parsing CN=Bioinf - Team,OU=!Security Groups,OU=User Accounts,DC=petermac,DC=org,DC=au<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x0020): Expected cn in second component, got OU<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x1000): Parsing CN=.Research Bioinformatics,OU=!Exchange Distribution Groups,OU=User Accounts,DC=petermac,DC=org,DC=au<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x0020): Expected cn in second component, got OU<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x1000): Parsing CN=DM_Outlook_Find,CN=Users,DC=petermac,DC=org,DC=au<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x0020): Expected groups second component, got Users<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x1000): Parsing CN=RES_BioInformatics,OU=Department Groups,OU=Security Groups,DC=petermac,DC=org,DC=au<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x0020): Expected cn in second component, got OU<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x1000): Parsing CN=.Research All Staff,OU=Distribution Groups,OU=Research,OU=User Accounts,OU=User Accounts,DC=petermac,DC=org,DC=au<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x0020): Expected cn in second component, got OU<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x1000): Parsing CN=Domain Users,OU=Domain Groups,OU=Security Groups,DC=petermac,DC=org,DC=au<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [get_ipa_groupname] (0x0020): Expected cn in second component, got OU<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [hbac_evaluate] (0x0100): [< hbac_evaluate()<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [hbac_evaluate] (0x0100): The rule [Computing Cluster] did not match.<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [hbac_evaluate] (0x0100): hbac_evaluate() >]<br>(Tue Jul 19 10:07:53 2016) [sssd[be[<a href="http://unix.petermac.org.au">unix.petermac.org.au</a>]]] [ipa_hbac_evaluate_rules] (0x0080): Access denied</div><div><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><br><br></div><div>Cheers<br></div><div>L.<br></div><div>------<br>The most dangerous phrase in the language is, "We've always done it this way."<br><br>- Grace Hopper<br></div></div></div></div> 
<br></div></div><br></div></div>