<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 4 April 2017 at 01:35, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On ma, 03 huhti 2017, Orion Poplawski wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 04/03/2017 09:03 AM, Orion Poplawski wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 04/03/2017 02:08 AM, Jakub Hrozek wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Fri, Mar 31, 2017 at 05:08:13PM -0600, Orion Poplawski wrote:<br></blockquote>
<br></blockquote>
I'm seeing:<br>
<br>
[03/Apr/2017:09:07:34.26924750<wbr>7 -0600] sidgen_task_thread - [file<br>
ipa_sidgen_task.c, line 194]: Sidgen task starts ...<br>
[03/Apr/2017:09:07:34.27330890<wbr>3 -0600] find_sid_for_ldap_entry - [file<br>
ipa_sidgen_common.c, line 522]: Cannot convert Posix ID [24613] into an unused<br>
SID.<br>
[03/Apr/2017:09:07:34.27452189<wbr>2 -0600] do_work - [file ipa_sidgen_task.c, line<br>
154]: Cannot add SID to existing entry.<br>
[03/Apr/2017:09:07:34.27719640<wbr>5 -0600] sidgen_task_thread - [file<br>
ipa_sidgen_task.c, line 199]: Sidgen task finished [32].<br>
</blockquote></div></div>
Look at this list's archives, I've been giving recipes how to fix this<br>
in February.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
My IPA ranges are:<br>
<br>
# ipa idrange-find<br>
----------------<br>
2 ranges matched<br>
----------------<br>
 Range name: AD.NWRA.COM_id_range<br>
 First Posix ID of the range: 20000<br>
 Number of IDs in the range: 20000<br>
 First RID of the corresponding RID range: 0<br>
 Domain SID of the trusted domain: S-1-5-21-89655523-1570529619-2<wbr>103694531<br>
 Range type: Active Directory domain range<br>
<br>
 Range name: NWRA.COM_id_range<br>
 First Posix ID of the range: 8000<br>
 Number of IDs in the range: 2000<br>
 First RID of the corresponding RID range: 1000<br>
 First RID of the secondary RID range: 100000000<br>
 Range type: local domain range<br>
----------------------------<br>
Number of entries returned 2<br>
----------------------------<br>
<br>
So I've been creating these local posix IPA groups for HBAC access (as well as<br>
file storage) with the same gid as that assigned to the AD user.  Perhaps that<br>
is a problem?<br>
</blockquote></span>
Yes, that is a problem. But HBAC group is not a problem because HBAC<br>
group is not a POSIX IPA group at all, it is even stored in a different<br>
subtree than user groups.<span class="HOEnZb"><font color="#888888"><br>
</font></span><br></blockquote></div><br></div><div class="gmail_extra">Can you expand on this please? In what way is this a problem?<br><br></div><div class="gmail_extra">We also have local posix IPA groups with the same gid as that assigned to the AD user (for historical reasons to do with samba shares on networked disks).<br><br></div><div class="gmail_extra">We don't use those groups for HBAC though, we use AD group membership through external groups for HBAC. (I use the term "we use HBAC" loosely - it's still in testing :) )<br><br></div><div class="gmail_extra">cheers<br></div><div class="gmail_extra">L.<br></div><div class="gmail_extra"><br><br></div><div class="gmail_extra"><br></div></div>