<div dir="ltr">Thank you Lukas. <div>The issue , not being able to login to some servers in our setup with ssh keys, was due to incorrect permissions on /usr directory,per the following entry in /var/log/secure.</div><div><br></div><div><div><b>sshd[12856]: error: bad ownership or modes for AuthorizedKeysCommand path component "/usr"</b></div></div><div><br></div><div>After setting up the permissions for /usr to 755, I was able to login to these servers with ssh private keys.</div><div><br></div><div>Thank you again,Lukas, for your help.</div><div><br></div><div>Regards</div><div>Venkataramana</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Sep 16, 2016 at 11:51 AM, Lukas Slebodnik <span dir="ltr"><<a href="mailto:lslebodn@redhat.com" target="_blank">lslebodn@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On (15/09/16 11:46), Venkataramana Kintali wrote:<br>
>Hi Lukas,<br>
</span><span class="">>ssh_config is also same on all servers.<br>
>Our need is to do it both  ways, to be able to login with ssh public<br>
>keys(uploaded in IPA) and disable password login, and be able to access<br>
>allhosts within the same IPA domain silently from any host.<br>
>Hoping the configs will help, I am including the configurations here.<br>
><br>
>ssh_config file :  <a href="http://pastebin.com/MWHyH1Qw" rel="noreferrer" target="_blank">http://pastebin.com/MWHyH1Qw</a><br>
>sshd_config file: <a href="http://pastebin.com/gpn5XhXM" rel="noreferrer" target="_blank">http://pastebin.com/gpn5XhXM</a><br>
>sssd_config file: <a href="http://pastebin.com/5Pby6xKp" rel="noreferrer" target="_blank">http://pastebin.com/5Pby6xKp</a><br>
><br>
</span>Looks good to me<br>
<span class=""><br>
>I just used some placeholders for sssd_config file in pastebin instead of<br>
>actual values.<br>
><br>
<br>
</span><span class="">In initial mail you wrote:<br>
>I am able to login to some IPA clients but not able to login to other IPA<br>
>clients with putty using private key and passphrase.<br>
</span>Therefore your previous test case is wrong.<br>
If you want to test authentication with public keys<br>
then you cannot obtain krb5 ticket with kinit.<br>
<br>
I would also recommend to call kdestory before<br>
authentication with ssh to be sure that gssapi<br>
authentication will not be used.<br>
<br>
I would recomment to set "debug_level = 7" in domain and ssh section<br>
on the server where you woudl like to authenticate.<br>
then restart sssd and try to authenticate with ssh + verbose mode<br>
e.g. ssh -v user@remote.host<br>
<br>
Then I would recommend to compare logs from working server<br>
and from broken server.<br>
<span class="HOEnZb"><font color="#888888"><br>
LS<br>
</font></span></blockquote></div><br></div>