<div dir="auto">Yes. What I do would you like? Current debug levels are at 8<div dir="auto"><br></div><div dir="auto">L.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 16 Mar. 2017 7:06 pm, "Jakub Hrozek" <<a href="mailto:jhrozek@redhat.com">jhrozek@redhat.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, Mar 16, 2017 at 11:36:57AM +1100, Lachlan Musicman wrote:<br>
> I'm experiencing issues with HBAC and I think it's a bug in sssd. Not sure<br>
> if better to report to here or sssd mailing list. Also sssd in pagure is<br>
> bare and I didn't want to sully the blank slate.  (<br>
> <a href="https://pagure.io/sssd/issues" rel="noreferrer" target="_blank">https://pagure.io/sssd/issues</a> )<br>
><br>
> The details:<br>
><br>
> env: CentOS 7.3, FreeIPA 4.4, sssd 1.15.1 from COPR<br>
><br>
> On the IPA server:<br>
><br>
> - "ipa hbactest ..." returns TRUE, so everything seems set up correctly.<br>
><br>
><br>
> When I try to login to the test client, I get denied.<br>
><br>
> On the test client:<br>
><br>
>  - hbac_eval_user_element is returning a wrong value. This is seen in<br>
> sssd_domain.log, it's returning 25. My test user is in 37 groups. This is<br>
> seen on the IPA server via id username. On the test client id username<br>
> returns 36 groups, the one missing is an IPA (not AD) group that was made<br>
> for HBAC rules. I have sanitized logs available.<br>
><br>
>  -  taking ldbsearch -H /var/lib/sss/db/cache_domain.<wbr>com.ldb<br>
> '(objectclass=user)' and finding the record in question shows the same 36<br>
> groups available. The missing group shouldn't affect ability to login via<br>
> HBAC<br>
><br>
>  - getent group (groupname) works as expected. Also worth noting that the<br>
> group missing from id username shows that user in getent.<br>
><br>
> For reference, on the client the sssd service was stopped, the cache<br>
> deleted, and the service started again the night before after which the<br>
> server wasn't accessed by anyone. I find that this is necessary for the<br>
> cache to populate.<br>
><br>
> Should I put in a bug report against SSSD or FreeIPA?<br>
><br>
> While HBAC is in FreeIPA, I think that this is an issue in SSSD<br>
> (specifically ?<br>
<br>
Yes, SSSD.<br>
<br>
I remember you had some intermittent issues in the past, is this one<br>
reproducable?<br>
<br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/<wbr>mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</blockquote></div></div>