<div dir="ltr"><span style="font-size:12.8px">Hi Jakub, Actually that is what i am doing. i am creating the user with same UID in IPA and then if i delete the user locally then i can authenticate via IPA. Is there anyway i can do this without deleting the user? This is just to use the same GID and avoid recreation of home/directories.</span><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Many Thanks for your response!</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Regards,</div><div style="font-size:12.8px">Deepak</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 2, 2017 at 8:40 PM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Thu, Mar 02, 2017 at 07:09:41PM +0530, deepak dimri wrote:<br>
> Hi List,<br>
><br>
> I have sudo and normal users accessing linux systems using their private<br>
> key without IPA. I have IPA fully functioning and now i want to switch the<br>
> users from local file login to IPA.<br>
><br>
> Any new user i create in IPA can SSH into ipa client jump boxes fine. I<br>
> want to know how i can migrate existing local sudoers users to IPA.  This<br>
> is what i have done to achieve this:<br>
><br>
> 1-  Created a new user in IPA with the same name as i have in Jumpbox.<br>
> 2 - Added the public key of that user in IPA.<br>
> 3-  Added the user to jumpbox_usergroup as my sshd.conf forces the users of<br>
> this group to authenticate against the pam/sssd<br>
><br>
> Now when i try to ssh into jumpbox using as i was doing before i still logs<br>
> into the jumpbox via unix pam and not IPA.  What should i be doing so that<br>
> the "existing" local unix users can login via IPA?<br>
<br>
</span>But do you need to keep the local users around? Why not create the IPA<br>
user with the same UID as the local user and remove the local user?<br>
<br>
Typically, if there is a user both in the local files and a remote<br>
source, the system (as configured in nsswitch.conf) would first return<br>
the local user and the PAM stack then only authenticates this user using<br>
pam_unix.so<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/<wbr>mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div>