<div dir="ltr"><div class="gmail_default" style="font-family:tahoma,sans-serif"><div class="gmail_default">We use sssd version 1.13.4 on our linux clients</div><div class="gmail_default">A user from ipa successfully authorizes on a linux client via ssh without a certificate. But then if we add a certificate - connection gets lost.</div><div class="gmail_default">Please find logs in attached files</div><div class="gmail_default">Thank you in advance</div></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><b>Artem Golubev</b><br>System Administrator<br><b>(exp)<span style="background-color:rgb(255,255,255)"><font color="#cc0000">capital</font> </span>limited</b></div></div></div>
<br><div class="gmail_quote">On 20 March 2017 at 18:14, Lukas Slebodnik <span dir="ltr"><<a href="mailto:lslebodn@redhat.com" target="_blank">lslebodn@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On (20/03/17 16:39), Alexander Bokovoy wrote:<br>
>On ma, 20 maalis 2017, Artem Golubev wrote:<br>
>> Good day!<br>
>><br>
>> We use freeipa server 4.3.1, we usually grant access via ssh keys to linux<br>
>> clients.<br>
>> We currently face the following issue with access on certificate: when we<br>
>> add certificate to user's account, user is not able to login via ssh.<br>
>> How can we solve this problem? We would like to have  a possibility to<br>
>> access linux clients via ssh keys and access to other resources using<br>
>> certificates.<br>
>You need to provide logs, obviously. Start with level 3 debug logs in<br>
>sshd, and debug_level=9 in sssd. Also show user's entry (as in 'ipa<br>
>user-show --raw --all username').<br>
><br>
>When you access SSH with ssh keys, SSSD is involved in account and<br>
>session phases of PAM authentication. This means either user does not<br>
>exist to sshd (it would then don't exist on system level at all) or<br>
>something prevents session phase from success. In session phase SSSD<br>
>does verify HBAC rules, for example.<br>
><br>
>See <a href="https://fedorahosted.org/sssd/wiki/Troubleshooting" rel="noreferrer" target="_blank">https://fedorahosted.org/sssd/<wbr>wiki/Troubleshooting</a> for<br>
>troubleshooting instructions.<br>
><br>
</span>The most important is to know version of sssd.<br>
Because one related bug is already fixed.<br>
<a href="https://pagure.io/SSSD/sssd/issue/2977" rel="noreferrer" target="_blank">https://pagure.io/SSSD/sssd/<wbr>issue/2977</a><br>
<span class="HOEnZb"><font color="#888888"><br>
LS<br>
</font></span></blockquote></div><br></div>