<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Can you provide an example of what file this entry should go into and what it look like in file? Do you have to do this on the client side/ server or both?<div class=""><br class=""></div><div class="">Thanks,</div><div class="">Alan</div><div class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Dec 23, 2016, at 4:43 AM, Dan Kemp <<a href="mailto:kempd7@gmail.com" class="">kempd7@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class=""><div class="gmail_extra">That did it, thanks! I could have sworn I tried that, maybe I ended up putting it in in the wrong section. I wish whatever changed going from 4.2.0 to 4.4.0 that made SELinux required, took the selinux enforcement level into account and updated the file accordingly.<br class=""><br class=""><br class=""></div><div class="gmail_extra"><div class="gmail_quote">On Fri, Dec 23, 2016 at 4:31 AM, Alexander Bokovoy <span dir="ltr" class=""><<a href="mailto:abokovoy@redhat.com" target="_blank" class="">abokovoy@redhat.com</a>></span> wrote:<br class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On to, 22 joulu 2016, Dan Kemp wrote:<br class="">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello,<br class="">
<br class="">
I recently ran an upgrade of my freeipa servers, and most of the clients to<br class="">
4.4.0 (Current with CentOS 7 repos) from version 4.2.0. After the install<br class="">
and server update, I can no longer log in to update clients via ssh. Login<br class="">
to non-update clients works as before.<br class="">
<br class="">
The SSH connections fail with:<br class="">
<br class="">
Connection closed by UNKNOWN<br class="">
<br class="">
I ran sssd with debugging on a failing 4.4.0 client and got this error log:<br class="">
<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [ldb] (0x4000): commit<br class="">
ldb transaction (nesting: 2)<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [ldb] (0x4000): commit<br class="">
ldb transaction (nesting: 1)<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [ldb] (0x4000): commit<br class="">
ldb transaction (nesting: 0)<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]]<br class="">
[selinux_child_create_buffer] (0x4000): buffer size: 45<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [child_handler_setup]<br class="">
(0x2000): Setting up signal handler up for pid [437]<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [child_handler_setup]<br class="">
(0x2000): Signal handler set up for pid [437]<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [sdap_process_result]<br class="">
(0x2000): Trace: sh[0x560c04c37790], connected[1], ops[(nil)],<br class="">
ldap[0x560c04c32d60]<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [sdap_process_result]<br class="">
(0x2000): Trace: end of ldap_result list<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [write_pipe_handler]<br class="">
(0x0400): All data has been sent!<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [main] (0x0400):<br class="">
selinux_child started.<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [main] (0x2000):<br class="">
Running with effective IDs: [0][0].<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [main] (0x2000):<br class="">
Running with real IDs [0][0].<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [main] (0x0400):<br class="">
context initialized<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [unpack_buffer]<br class="">
(0x2000): seuser length: 12<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [unpack_buffer]<br class="">
(0x2000): seuser: unconfined_u<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [unpack_buffer]<br class="">
(0x2000): mls_range length: 14<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [unpack_buffer]<br class="">
(0x2000): mls_range: s0-s0:c0.c1023<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [unpack_buffer]<br class="">
(0x2000): username length: 7<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [unpack_buffer]<br class="">
(0x2000): username: ipauser<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [main] (0x0400):<br class="">
performing selinux operations<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [sss_semanage_init]<br class="">
(0x0020): SELinux policy not managed<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [get_seuser]<br class="">
(0x0020): Cannot create SELinux handle<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]]<br class="">
[seuser_needs_update] (0x2000): get_seuser: ret: 5 seuser: unknown mls:<br class="">
unknown<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [sss_semanage_init]<br class="">
(0x0020): SELinux policy not managed<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [set_seuser]<br class="">
(0x0020): Cannot init SELinux management<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [main] (0x0020):<br class="">
Cannot set SELinux login context.<br class="">
(Wed Dec 20 20:38:13 2016) [[sssd[selinux_child[437]]]] [main] (0x0020):<br class="">
selinux_child failed!<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [read_pipe_handler]<br class="">
(0x0400): EOF received, client finished<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [selinux_child_done]<br class="">
(0x0020): selinux_child_parse_response failed: [22][Invalid argument]<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [dp_req_done] (0x0400):<br class="">
DP Request [PAM SELinux #3]: Request handler finished [0]: Success<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [_dp_req_recv]<br class="">
(0x0400): DP Request [PAM SELinux #3]: Receiving request data.<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [dp_req_destructor]<br class="">
(0x0400): DP Request [PAM SELinux #3]: Request removed.<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [dp_req_destructor]<br class="">
(0x0400): Number of active DP request: 0<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [dp_pam_reply]<br class="">
(0x1000): DP Request [PAM Account #2]: Sending result [4][domain.local]<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [child_sig_handler]<br class="">
(0x1000): Waiting for child [437].<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[be[domain.local]]] [child_sig_handler]<br class="">
(0x0020): child [437] failed with status [1].<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[pam]] [sbus_remove_timeout] (0x2000):<br class="">
0x55f4be11f4c0<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[pam]] [sbus_dispatch] (0x4000): dbus conn:<br class="">
0x55f4be1191b0<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[pam]] [sbus_dispatch] (0x4000):<br class="">
Dispatching.<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[pam]] [pam_dp_process_reply] (0x0200):<br class="">
received: [4 (System error)][domain.local]<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[pam]] [pam_reply] (0x0200): pam_reply<br class="">
called with result [4]: System error.<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[pam]] [pam_reply] (0x0200): blen: 39<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[pam]] [reset_idle_timer] (0x4000): Idle<br class="">
timer re-set for client [0x55f4be11f980][19]<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[pam]] [reset_idle_timer] (0x4000): Idle<br class="">
timer re-set for client [0x55f4be11f980][19]<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[pam]] [client_recv] (0x0200): Client<br class="">
disconnected!<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[pam]] [client_close_fn] (0x2000):<br class="">
Terminated client [0x55f4be11f980][19]<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[nss]] [reset_idle_timer] (0x4000): Idle<br class="">
timer re-set for client [0x5604f5217c60][22]<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[nss]] [client_recv] (0x0200): Client<br class="">
disconnected!<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[nss]] [client_close_fn] (0x2000):<br class="">
Terminated client [0x5604f5217c60][22]<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[nss]] [reset_idle_timer] (0x4000): Idle<br class="">
timer re-set for client [0x5604f5216b20][21]<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[nss]] [client_recv] (0x0200): Client<br class="">
disconnected!<br class="">
(Wed Dec 20 20:38:13 2016) [sssd[nss]] [client_close_fn] (0x2000):<br class="">
Terminated client [0x5604f5216b20][21]<br class="">
<br class="">
<br class="">
SeLinux is disabled, as I am running the clients in LXC containers on a<br class="">
debian host. My setup is pretty simple, and was working before (and<br class="">
connections to 4.2.0 clients are still functional!). Nothing looks amiss in<br class="">
the ssh logs.<br class="">
</blockquote></div></div>
Add selinux_provider=none to the domain section if you are not using<br class="">
SELinux at all.<span class="HOEnZb"><font color="#888888" class=""><br class="">
<br class="">
-- <br class="">
/ Alexander Bokovoy<br class="">
</font></span></blockquote></div><br class=""></div></div>
-- <br class="">Manage your subscription for the Freeipa-users mailing list:<br class=""><a href="https://www.redhat.com/mailman/listinfo/freeipa-users" class="">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br class="">Go to http://freeipa.org for more info on the project</div></blockquote></div><br class=""></div></body></html>