<div class="gmail_quote">On Wed, Jul 21, 2010 at 6:18 PM, Dmitri Pal <span dir="ltr"><<a href="mailto:dpal@redhat.com">dpal@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div class="im">Scott Duckworth wrote:<br>
> On Wed, Jul 21, 2010 at 5:58 PM, Dmitri Pal <<a href="mailto:dpal@redhat.com">dpal@redhat.com</a><br>
</div><div><div></div><div class="h5">> <mailto:<a href="mailto:dpal@redhat.com">dpal@redhat.com</a>>> wrote:<br>
><br>
>     Scott Duckworth wrote:<br>
>     > I'm trying to setup a vanilla installation of Fedora 13 to<br>
>     > authenticate against an eDirectory server.  We have this working on<br>
>     > RHEL5 using nss_ldap and pam_ldap, but doing this same configuration<br>
>     > on Fedora 13 did not work.  So I'm now attempting the configuration<br>
>     > using SSS.  I used the graphical tools to setup the basics, then<br>
>     > started editing /etc/sssd/sssd.conf to get the specifics right.<br>
>     ><br>
>     > The directory server uses rfc2307bis groups.  User DNs do not have<br>
>     > memberOf attributes or any shadow or kerberos attributes.<br>
>      Kerberos is<br>
>     > not available, LDAP is used for authentication.<br>
>     ><br>
>     > The SSSD client is sssd-1.2.1-15.fc13.x86_64.<br>
>     ><br>
>     > /etc/sssd/sssd.conf:<br>
>     > [sssd]<br>
>     > config_file_version = 2<br>
>     > reconnection_retries = 3<br>
>     > sbus_timeout = 30<br>
>     > services = nss, pam<br>
>     > domains = CLEMSONU<br>
>     > [nss]<br>
>     > debug_level = 7<br>
>     > filter_groups = root<br>
>     > filter_users = root<br>
>     > reconnection_retries = 3<br>
>     > entry_cache_timeout = 1<br>
>     > entry_cache_nowait_timeout = 1<br>
>     > [pam]<br>
>     > debug_level = 7<br>
>     > reconnection_retries = 3<br>
>     > [domain/CLEMSONU]<br>
>     > debug_level = 20<br>
>     > enumerate = False<br>
>     > cache_credentials = False<br>
>     > id_provider = ldap<br>
>     > auth_provider = ldap<br>
>     Try adding here<br>
><br>
>     ldap_schema = rfc2307bis<br>
><br>
><br>
> No difference.<br>
<br>
</div></div>I assume you restarted SSSD and probably cleared the cache since it<br>
might already got it wrong.<br>
<br>
Instructions for cleaning:<br>
Beginning with version 0.6.0, SSSD maintains a separate database file<br>
for each domain. This means that each domain has its own cache, and in<br>
the event that problems occur and maintenance is necessary, it is very<br>
easy to purge the cache for a single domain, by stopping |sssd| and<br>
deleting the corresponding cache file. These cache files are stored in<br>
the |/var/lib/sss/db/| directory.<br>
All cache files are named according to the domain that they represent,<br>
for example |cache_/|DOMAINNAME|/.ldb|.<br></blockquote><div><br>I removed all files from /var/lib/sss/db/ and restarted sssd.  Same behavior.  nscd is disabled, so I don't think it's caching at any level.<br><br>
Here is what I ran:<br><br>[root@duck2 ~]# getent passwd sduckwo<br>sduckwo:*:45265:10000:Scott Duckworth:/home/sduckwo:/bin/bash<br>[root@duck2 ~]# groups sduckwo<br>sduckwo : cuuser<br>[root@duck2 ~]# getent group coes_socunix<br>
coes_socunix:*:120105:sduckwo<br><br>And here is what the domain log shows:<br><br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sbus_message_handler] (9): Received SBUS method [getAccountInfo]<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [be_get_account_info] (4): Got request for [4098][1][name=coes_socunix]<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_get_generic_send] (6): calling ldap_search_ext with [(&(cn=coes_socunix)(objectclass=posixGroup))][o=CLEMSONU].<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_get_generic_send] (7): Requesting attrs: [objectClass]<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_get_generic_send] (7): Requesting attrs: [cn]<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_get_generic_send] (7): Requesting attrs: [userPassword]<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_get_generic_send] (7): Requesting attrs: [gidNumber]<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_get_generic_send] (7): Requesting attrs: [member]<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_get_generic_send] (7): Requesting attrs: [nsUniqueId]<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_get_generic_send] (7): Requesting attrs: [modifyTimestamp]<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_get_generic_send] (8): ldap_search_ext called, msgid = 6<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_process_result] (8): Trace: sh[0xc55ad0], connected[1], ops[0xd5d5a0], ldap[0xc55cf0]<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_parse_entry] (9): OriginalDN: [cn=coes_socunix,ou=group,ou=SoC,ou=CES,o=CLEMSONU].<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_process_result] (8): Trace: sh[0xc55ad0], connected[1], ops[0xd5d5a0], ldap[0xc55cf0]<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_get_generic_done] (6): Search result: Success(0), (null)<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_get_groups_process] (6): Search for groups, returned 1 results.<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_process_result] (8): Trace: sh[0xc55ad0], connected[1], ops[(nil)], ldap[0xc55cf0]<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_process_result] (8): Trace: ldap_result found nothing!<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [ldb] (9): start ldb transaction (nesting: 0)<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_save_group_send] (7): Adding original DN [cn=coes_socunix,ou=group,ou=SoC,ou=CES,o=CLEMSONU] to attributes of [coes_socunix].<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_save_group_send] (6): Storing info for group coes_socunix<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sysdb_search_entry_done] (6): Error: Entry not Found!<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sysdb_search_entry_done] (6): Error: Entry not Found!<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_save_groups_loop] (9): Group 0 processed!<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_save_grpmem_send] (7): Adding member users to group [coes_socunix]<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_fill_memberships] (9): [IPA or AD Schema]<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_fill_memberships] (7):     member #0 (cn=SDUCKWO,ou=s,ou=EMPLOYEE,o=CLEMSONU): [name=sduckwo,cn=users,cn=CLEMSONU,cn=sysdb]<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sysdb_search_entry_done] (6): Error: Entry not Found!<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_fill_memberships] (7):     member #1 (cn=DUCKWOS,ou=d,ou=Students,o=CLEMSONU): not found!<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sysdb_search_entry_done] (6): Error: Entry not Found!<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_fill_memberships] (7):     member #2 (cn=JDABNEY,ou=j,ou=Students,o=CLEMSONU): not found!<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sysdb_search_entry_done] (6): Error: Entry not Found!<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_fill_memberships] (7):     member #3 (cn=MDABNEY,ou=m,ou=Students,o=CLEMSONU): not found!<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sysdb_search_entry_done] (6): Error: Entry not Found!<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_fill_memberships] (7):     member #4 (cn=DABNEY,ou=d,ou=EMPLOYEE,o=CLEMSONU): not found!<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sysdb_search_entry_done] (6): Error: Entry not Found!<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_fill_memberships] (7):     member #5 (cn=DABNEY2,ou=d,ou=EMPLOYEE,o=CLEMSONU): not found!<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sysdb_search_entry_done] (6): Error: Entry not Found!<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_fill_memberships] (7):     member #6 (cn=MADPROF,ou=m,ou=EMPLOYEE,o=CLEMSONU): not found!<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sysdb_search_entry_done] (6): Error: Entry not Found!<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_fill_memberships] (7):     member #7 (cn=WAYNE,ou=w,ou=EMPLOYEE,o=CLEMSONU): not found!<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_save_grpmem_send] (6): Storing members for group coes_socunix<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [ldb] (9): commit ldb transaction (nesting: 0)<br>(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [sdap_get_groups_done] (9): Saving 1 Groups - Done<br>
(Thu Jul 22 10:59:15 2010) [sssd[be[CLEMSONU]]] [acctinfo_callback] (4): Request processed. Returned 0,0,Success<br><br>It looks like it's only recognizing user DNs which have already been cached.<br> </div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

If this does not help then you need to wait till tomorrow for Steve<br>
Gallagher to reply to you. He is gone for the day.<br>
<div><div></div><div class="h5"><br>
--<br>
Thank you,<br>
Dmitri Pal<br>
<br>
Engineering Manager IPA project,<br>
Red Hat Inc.<br>
<br>
<br>
-------------------------------<br>
Looking to carve out IT costs?<br>
<a href="http://www.redhat.com/carveoutcosts/" target="_blank">www.redhat.com/carveoutcosts/</a><br>
<br>
</div></div></blockquote></div><br>