<div dir="ltr"><div><div><div><div><div><div><div><div>Hola,<br><br></div>What is the relationship between the IPA server, host-clients and the sssd.conf?<br><br></div>From what I can tell, sssd.conf is edited/changed by the ipa-client-install process on the host-client.<br><br></div>What level of similarity does there need to be between the two sssd.confs?<br><br></div>My server's sssd.conf has a significant number of extra parameters set that are not getting put onto the clients. <br><br></div></div>Debug levels are the most obvious, and understandable, omissions - but some others are frustrating.<br><br></div>The (non debug_level) parameters missing are:<br>----------------------<br>[domain/unixdev.etc]<br>ignore_group_members = True<br>ldap_purge_cache_timeout = 0<br>subdomain_inherit = ignore_group_members, ldap_purge_cache_timeout<br>selinux_provider = none<br>ipa_server_mode = True<br>sudo_provider = ldap<br>ldap_uri = ldap://<a href="http://vmdv-linuxidm1.unixdev.petermac.org.au">vmdv-linuxidm1.unixdev.petermac.org.au</a><br>ldap_sudo_search_base = or=sudoers,dc=unixdev,dc=petermac,dc=org,dc=au<br>ldap_sasl_mech = GSSAPI<br>ldap_sasl_authid = host/<a href="http://vmdv-linuxidm1.unixdev.petermac.org.au">vmdv-linuxidm1.unixdev.petermac.org.au</a><br>ldap_sasl_realm = <a href="http://UNIXDEV.PETERMAC.ORG.AU">UNIXDEV.PETERMAC.ORG.AU</a><br>krb5_server = <a href="http://vmdv-linuxidm1.unixdev.petermac.org.au">vmdv-linuxidm1.unixdev.petermac.org.au</a><br><br>[sssd]<br>config_file_version = 2<br>domains = unixdev.etc<br><br>[nss]<br>memcache_timeout = 600<br>----------------------<br><br></div>The other diff is that the <br><br>host has: ipa_server = <a href="http://vmdv-linuxidm1.unixdev.petermac.org.au">vmdv-linuxidm1.unixdev.petermac.org.au</a> <br>client has: ipa_server = _srv_, <a href="http://vmdv-linuxidm1.unixdev.petermac.org.au">vmdv-linuxidm1.unixdev.petermac.org.au</a> <br><div><br></div><div>Which I presume is expected/desired.<br><br></div><div>And the reason I ask is because we have selinux disabled, and without the "selinux_provider = none" line, we would get kicked out as soon as freeipa had logged us in with message:<br><br>Connection to <a href="http://test_client.unixdev.petermac.org.au">test_client.unixdev.petermac.org.au</a> closed by remote host.<br><br></div><div>and on that host-client there was a brand new selinux_child.log that I'd never seen before.<br></div><div><br><br></div><div>cheers<br></div><div>L.<br></div><div><div><div><br><div><div><div><br clear="all"><div><div><div><div><div><div class="gmail_signature"><div dir="ltr"><div>------<br>The most dangerous phrase in the language is, "We've always done it this way."<br><br>- Grace Hopper<br><br><br></div></div></div></div>
</div></div></div></div></div></div></div></div></div></div></div>