<p dir="ltr">The workaround worked thank you! </p>
<div class="gmail_extra"><br><div class="gmail_quote">On 6 Oct 2016 5:09 pm, "Sumit Bose" <<a href="mailto:sbose@redhat.com">sbose@redhat.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, Oct 06, 2016 at 03:48:10PM +0100, Alessandro De Maria wrote:<br>
> Hello,<br>
><br>
> We are moving some of our servers to use 16.04 and for all new installs I<br>
> have noticed that I am unable to fetch the ssh_authorized keys from the<br>
> server.<br>
><br>
> /usr/bin/sss_ssh_<wbr>authorizedkeys --debug 10 -d <a href="http://prod.zzzzzzz.com" rel="noreferrer" target="_blank">prod.zzzzzzz.com</a> ademaria<br>
> (Thu Oct  6 11:29:59:823635 2016) [/usr/bin/sss_ssh_<wbr>authorizedkeys] [main]<br>
> (0x0020): sss_ssh_get_ent() failed (14): Bad address<br>
> Error looking up public keys<br>
><br>
> This only happens on Ubuntu 16.04. We have a number of 12.04 that work<br>
> perfectly.<br>
><br>
> The configuration seems ok or at least matches the one on 12.04.<br>
> I increased the debug level on sssd and sss_ssh and this is the output I get<br>
<br>
...<br>
<br>
> (Thu Oct  6 15:42:01 2016) [sssd[ssh]] [cert_to_ssh_key] (0x0040):<br>
> NSS_InitContext failed [-8015].<br>
> (Thu Oct  6 15:42:01 2016) [sssd[ssh]] [decode_and_add_base64_data]<br>
> (0x0040): cert_to_ssh_key failed.<br>
> (Thu Oct  6 15:42:01 2016) [sssd[ssh]] [ssh_cmd_build_reply] (0x0040):<br>
> decode_and_add_base64_data failed.<br>
> (Thu Oct  6 15:42:01 2016) [sssd[ssh]] [ssh_cmd_done] (0x0020): Fatal<br>
> error, killing connection!<br>
<br>
...<br>
<br>
Newer version of SSSD can derive ssh-keys from valid X.509 certificates<br>
stored in the LDAP entry of the user. Unfortunately it looks like in<br>
your build of SSSD needs a fix for<br>
<a href="https://fedorahosted.org/sssd/ticket/2977" rel="noreferrer" target="_blank">https://fedorahosted.org/sssd/<wbr>ticket/2977</a>. Please open a ticket for your<br>
distribution to include the patch for this issue which is linked at the<br>
end of the ticket.<br>
<br>
As a workaround you can set 'ldap_user_certificate = noSuchAttribute' in<br>
the [domain/...] section of sssd.conf. This should prevent SSSD from<br>
reading the certificate stored in the user entry. After changing<br>
sssd.conf you should invalidate the cache by calling 'sss_cache -E' and<br>
restart SSSD.<br>
<br>
HTH<br>
<br>
bye,<br>
Sumit<br>
<br>
><br>
> Could you help me understand what is the issue with it?<br>
><br>
> Regards<br>
> Alessandro<br>
><br>
> --<br>
> Alessandro De Maria<br>
> <a href="mailto:alessandro.demaria@gmail.com">alessandro.demaria@gmail.com</a><br>
<br>
> --<br>
> Manage your subscription for the Freeipa-users mailing list:<br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/<wbr>mailman/listinfo/freeipa-users</a><br>
> Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
<br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/<wbr>mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</blockquote></div></div>