<div dir="ltr"><div><div><div><div><div><div>Hello,<br><br></div>I recently ran an upgrade of my freeipa servers, and most of the clients to 4.4.0 (Current with CentOS 7 repos) from version 4.2.0. After the install and server update, I can no longer log in to update clients via ssh. Login to non-update clients works as before.<br><br></div>The SSH connections fail with:<br><br>Connection closed by UNKNOWN<br><br></div>I ran sssd with debugging on a failing 4.4.0 client and got this error log:<br><br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [ldb] (0x4000): commit ldb transaction (nesting: 2)<br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [ldb] (0x4000): commit ldb transaction (nesting: 1)<br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [ldb] (0x4000): commit ldb transaction (nesting: 0)<br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [selinux_child_create_buffer] (0x4000): buffer size: 45<br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [child_handler_setup] (0x2000): Setting up signal handler up for pid [437]<br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [child_handler_setup] (0x2000): Signal handler set up for pid [437]<br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [sdap_process_result] (0x2000): Trace: sh[0x560c04c37790], connected[1], ops[(nil)], ldap[0x560c04c32d60]<br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [sdap_process_result] (0x2000): Trace: end of ldap_result list<br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [write_pipe_handler] (0x0400): All data has been sent!<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [main] (0x0400): selinux_child started.<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [main] (0x2000): Running with effective IDs: [0][0].<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [main] (0x2000): Running with real IDs [0][0].<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [main] (0x0400): context initialized<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [unpack_buffer] (0x2000): seuser length: 12<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [unpack_buffer] (0x2000): seuser: unconfined_u<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [unpack_buffer] (0x2000): mls_range length: 14<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [unpack_buffer] (0x2000): mls_range: s0-s0:c0.c1023<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [unpack_buffer] (0x2000): username length: 7<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [unpack_buffer] (0x2000): username: ipauser<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [main] (0x0400): performing selinux operations<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [sss_semanage_init] (0x0020): SELinux policy not managed<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [get_seuser] (0x0020): Cannot create SELinux handle<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [seuser_needs_update] (0x2000): get_seuser: ret: 5 seuser: unknown mls: unknown<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [sss_semanage_init] (0x0020): SELinux policy not managed<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [set_seuser] (0x0020): Cannot init SELinux management<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [main] (0x0020): Cannot set SELinux login context.<br>(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [main] (0x0020): selinux_child failed!<br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [read_pipe_handler] (0x0400): EOF received, client finished<br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [selinux_child_done] (0x0020): selinux_child_parse_response failed: [22][Invalid argument]<br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [dp_req_done] (0x0400): DP Request [PAM SELinux #3]: Request handler finished [0]: Success<br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [_dp_req_recv] (0x0400): DP Request [PAM SELinux #3]: Receiving request data.<br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [dp_req_destructor] (0x0400): DP Request [PAM SELinux #3]: Request removed.<br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [dp_req_destructor] (0x0400): Number of active DP request: 0<br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [dp_pam_reply] (0x1000): DP Request [PAM Account #2]: Sending result [4][domain.local]<br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [child_sig_handler] (0x1000): Waiting for child [437].<br>(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [child_sig_handler] (0x0020): child [437] failed with status [1].<br>(Wed Dec 20 20:38:13 2016) [sssd[pam]] [sbus_remove_timeout] (0x2000): 0x55f4be11f4c0<br>(Wed Dec 20 20:38:13 2016) [sssd[pam]] [sbus_dispatch] (0x4000): dbus conn: 0x55f4be1191b0<br>(Wed Dec 20 20:38:13 2016) [sssd[pam]] [sbus_dispatch] (0x4000): Dispatching.<br>(Wed Dec 20 20:38:13 2016) [sssd[pam]] [pam_dp_process_reply] (0x0200): received: [4 (System error)][domain.local]<br>(Wed Dec 20 20:38:13 2016) [sssd[pam]] [pam_reply] (0x0200): pam_reply called with result [4]: System error.<br>(Wed Dec 20 20:38:13 2016) [sssd[pam]] [pam_reply] (0x0200): blen: 39<br>(Wed Dec 20 20:38:13 2016) [sssd[pam]] [reset_idle_timer] (0x4000): Idle timer re-set for client [0x55f4be11f980][19]<br>(Wed Dec 20 20:38:13 2016) [sssd[pam]] [reset_idle_timer] (0x4000): Idle timer re-set for client [0x55f4be11f980][19]<br>(Wed Dec 20 20:38:13 2016) [sssd[pam]] [client_recv] (0x0200): Client disconnected!<br>(Wed Dec 20 20:38:13 2016) [sssd[pam]] [client_close_fn] (0x2000): Terminated client [0x55f4be11f980][19]<br>(Wed Dec 20 20:38:13 2016) [sssd[nss]] [reset_idle_timer] (0x4000): Idle timer re-set for client [0x5604f5217c60][22]<br>(Wed Dec 20 20:38:13 2016) [sssd[nss]] [client_recv] (0x0200): Client disconnected!<br>(Wed Dec 20 20:38:13 2016) [sssd[nss]] [client_close_fn] (0x2000): Terminated client [0x5604f5217c60][22]<br>(Wed Dec 20 20:38:13 2016) [sssd[nss]] [reset_idle_timer] (0x4000): Idle timer re-set for client [0x5604f5216b20][21]<br>(Wed Dec 20 20:38:13 2016) [sssd[nss]] [client_recv] (0x0200): Client disconnected!<br>(Wed Dec 20 20:38:13 2016) [sssd[nss]] [client_close_fn] (0x2000): Terminated client [0x5604f5216b20][21]<br><br><br></div>SeLinux is disabled, as I am running the clients in LXC containers on a debian host. My setup is pretty simple, and was working before (and connections to 4.2.0 clients are still functional!). Nothing looks amiss in the ssh logs.<br><br></div>Thanks for any help,<br></div>-Dan<br></div>