<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 2 February 2017 at 10:06, Jason B. Nance <span dir="ltr"><<a target="_blank" href="mailto:jason@tresgeek.net">jason@tresgeek.net</a>></span> wrote:<br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><div><div style="font-family:lucida console,sans-serif;font-size:10pt;color:rgb(0,0,0)"><div><br><div><span class="gmail-"><blockquote style="border-left:2px solid rgb(16,16,255);margin-left:5px;padding-left:5px;color:rgb(0,0,0);font-weight:normal;font-style:normal;text-decoration:none;font-family:helvetica,arial,sans-serif;font-size:12pt"><div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-m_-4234763558034643396gmail-">>    - User/group management in general becomes largely a command-line operation (such as mapping groups so they can be used in HBAC and sudo rules)<br>
<br>
</span>While this is a nice-to-have, it isn't a deal breaker.<br></blockquote><br><div>This definitely exists in WebUI? Unless you mean something I don't understand.<br><br></div><div>Define groups: <br>Identity->User Groups (second tab)</div></div></div></div></div></blockquote></span> In my setup (FreeIPA 4.4.0 on CentOS 7) I don't see external users (users that are known via the trust with AD) under the "Users" tab.  There is limited visibility / management of external groups and membership, but nothing that displays a list of available users/groups in AD when attempting to create/modify a user/group. </div></div></div></div></blockquote><div><br><br><br></div><div>Ah! Yes, I can't see all the AD users either. But adding a user to the ID Views does fail on bad user names, which is not the same thing - I know - but I only have a one way trust (from FreeIPA to AD) and the AD is managed by the IT Overlords on Floor 6. <br><br>Bi directional trust may have different usage?<br></div><div> </div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><div><div style="font-family:lucida console,sans-serif;font-size:10pt;color:rgb(0,0,0)"><div><div><span class="gmail-"><blockquote style="border-left:2px solid rgb(16,16,255);margin-left:5px;padding-left:5px;color:rgb(0,0,0);font-weight:normal;font-style:normal;text-decoration:none;font-family:helvetica,arial,sans-serif;font-size:12pt"><div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>Define user mappings:<br></div><div>IPA Server -> ID Views -> Default Trust View<br></div></div></div></div></div></blockquote></span><div>By "mapping" I meant adding an AD group to a FreeIPA group (which can be used for HBAC/sudo) so that AD membership is known by IPA when applying the HBAC/sudo rules.  For example:<br></div><div><br></div><div>ipa group-add \<br>  --desc="lab.gen.zone 'Domain Admins' external map" \<br>  lgz_map_domain_admins \<br>  --external<br>ipa group-add \<br>  --desc="lab.gen.zone 'Domain Admins' POSIX" \<br>  lgz_domain_admins<br>ipa group-add-member \<br>  lgz_map_domain_admins \<br>  --external 'LAB\Domain Admins'<br>ipa group-add-member \<br>  lgz_domain_admins \<br>  --groups lgz_map_domain_admins<br></div><div><br></div></div></div></div></div></blockquote></div><br><br><br></div><div class="gmail_extra">Through the groups UI, you can add an external group (we use the naming system "ad_my_group"), then add the AD group as an external member to that group (add AD-DOMAIN\my_group). Then we add the local POSIX group ("my_group")  and make "ad_my_group" a member of that. <br><br></div><div class="gmail_extra"><br></div><div class="gmail_extra">When you add a group in the groups, you will see the option for the group to be POSIX, external or normal. <br><br></div><div class="gmail_extra">cheers<br></div><div class="gmail_extra">L.<br></div><div class="gmail_extra"><br><br><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div>------<br>The most dangerous phrase in the language is, "We've always done it this way."<br><br>- Grace Hopper<br></div></div></div></div>
<br></div></div>