<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">My translations of your comments are in line, if you could correct, I'd appreciate that.<br><br>On 20 September 2016 at 17:11, Lukas Slebodnik <span dir="ltr"><<a href="mailto:lslebodn@redhat.com" target="_blank">lslebodn@redhat.com</a>></span> wrote:<br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><span>>----------------------<br>
>[domain/unixdev.etc]<br>
>ignore_group_members = True<br>
</span>It was probably set as a result of performance tuning.<br>
<br>
>ldap_purge_cache_timeout = 0<br>
That's default since 1.13.0<br>
<br>
>subdomain_inherit = ignore_group_members, ldap_purge_cache_timeout<br>
that's specific option for sssd on IPA server<br></blockquote><div><br><br></div><div>I presume your comment suggests <span>ignore_group_members is no longer needed, and since the lpct=0 is now default, then subdomain_inherit is also superfluous?<br></span></div><div><br> </div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">
>selinux_provider = none<br>
It was probably set as a workaround of bug which have been already<br>
fixed.<br></blockquote><div><br></div><div>We set this because of an error in libsemanage, but I think that was an upstream (selinux) issue? <a href="https://www.redhat.com/archives/freeipa-users/2016-July/msg00244.html">https://www.redhat.com/archives/freeipa-users/2016-July/msg00244.html</a><br><br></div><div>Not sure if I should disable just yet - was this fixed?<br></div><div> </div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">
<br>
>ipa_server_mode = True<br>
that's specific option for sssd on IPA server<br>
<span><br></span></blockquote><div><br></div><div>I take it that this means it's still used.<br></div><div><br> </div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><span>
>sudo_provider = ldap<br>
>ldap_uri = ldap://<a rel="noreferrer" href="http://vmdv-linuxidm1.unixdev.petermac.org.au" target="_blank">vmdv-linuxidm1.unixdev.<wbr>petermac.org.au</a><br>
>ldap_sudo_search_base = or=sudoers,dc=unixdev,dc=peter<wbr>mac,dc=org,dc=au<br>
>ldap_sasl_mech = GSSAPI<br>
>ldap_sasl_authid = host/<a rel="noreferrer" href="http://vmdv-linuxidm1.unixdev.petermac.org.au" target="_blank">vmdv-linuxidm1.unixdev.pe<wbr>termac.org.au</a><br>
>ldap_sasl_realm = <a rel="noreferrer" href="http://UNIXDEV.PETERMAC.ORG.AU" target="_blank">UNIXDEV.PETERMAC.ORG.AU</a><br>
>krb5_server = <a rel="noreferrer" href="http://vmdv-linuxidm1.unixdev.petermac.org.au" target="_blank">vmdv-linuxidm1.unixdev.peterma<wbr>c.org.au</a><br>
</span>Previous 7 options are not required since sssd-1.10<span><br></span></blockquote><div><br></div><div>Yep, I added those because of disconnect between the different info sources made it hard to tell what was canonical, so I followed the red hat guide:<br><br><a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/sssd-ldap-sudo.html">https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/sssd-ldap-sudo.html</a><br></div><div> </div><div>mostly because I didn't quite understand the sssd-sudo man page (because sometimes I find man pages obtuse), but also there was an inconsistency with the local man page and the <a href="http://die.net">die.net</a> mirror <a href="https://linux.die.net/man/5/sssd-sudo">https://linux.die.net/man/5/sssd-sudo</a> and this howto <a href="https://blog-rcritten.rhcloud.com/?p=52">https://blog-rcritten.rhcloud.com/?p=52</a><br></div><div> </div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><span>
><br>
>[sssd]<br>
>config_file_version = 2<br>
>domains = unixdev.etc<br>
><br>
>[nss]<br>
>memcache_timeout = 600<br>
</span>This option is se by ipa-*-install on ipa server mode.<br>
<span></span></blockquote><div><br></div><div>These I will leave.<br></div><div> <br></div><div>Cheers<br></div><div>L.<br></div></div></div></div>