<html>
<head>
<title>Odd problem with SSSD and SSH keys</title>
<link rel="important stylesheet" href="chrome://messagebody/skin/messageBody.css">
</head>
<body>
<table border=0 cellspacing=0 cellpadding=0 width="100%" class="header-part1"><tr><td><div class="headerdisplayname" style="display:inline;">Subject: </div>Odd problem with SSSD and SSH keys</td></tr><tr><td><div class="headerdisplayname" style="display:inline;">From: </div>Bret Wortman <bret.wortman@damascusgrp.com></td></tr><tr><td><div class="headerdisplayname" style="display:inline;">Date: </div>01/13/2014 02:13 PM</td></tr></table><table border=0 cellspacing=0 cellpadding=0 width="100%" class="header-part2"><tr><td><div class="headerdisplayname" style="display:inline;">To: </div>Freeipa-users@redhat.com</td></tr></table><br>
<div class="moz-text-html"  lang="x-western"><html>
  <head>

    <meta http-equiv="content-type" content="text/html; ">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    I've got a strange situation where some of my workstations are
    reporting difficulty when sshing to remote systems, but there's no
    pattern I can discern. One user's machine can't get to system A, but
    I can, though I can't ssh to his workstation directly.<br>
    <br>
    Here's the kind of thing I see when doing ssh -vvv:<br>
    <br>
    debug1: Server host key: RSA
    2a:1e:1c:87:33:44:fb:87:ab:6f:ee:80:d5:21:7e:ab<br>
    debug3: load_hostkeys: loading entries for host "rs512" from file
    "/root/.ssh/known_hosts"<br>
    debug3: load_hostkeys: loaded 0 keys<br>
    debug3: load_hostkeys: loading entries for host "rs512" from file
    "/var/lib/sss/pubconf/known_hosts"<br>
    debug3: load_hostkeys: found key type RSA in file
    /var/lib/sss/pubconf/known_hosts:2<br>
    debug3: load_hostkeys: loaded 1 keys<br>
    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@<br>
    @   WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @<br>
    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@<br>
    IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!<br>
    Someone coudl be eavesdropping on you right now (man-in-the-middle
    attack)!<br>
    It is also possible that a host key has just been changed.<br>
    The fingerprint for the RSA key sent by the remote host is<br>
    2a:1e:1c:87:33:44:fb:87:ab:6f:ee:80:d5:21:7e:ab<br>
    Please contact your system administrator.<br>
    Add correct host key in /root/.ssh/known_hosts to get rid of this
    message.<br>
    Offending RSA key in /var/lib/sss/pubconf/known_hosts:2<br>
    RSA host key for zw131 has changed and you have requested strict
    checking.<br>
    Host key verification failed.<br>
    #<br>
    <br>
    We haven't changed the host key; the public key files are dated
    October 23 of last year. Our configuration files for SSSD and SSH
    are managed by Puppet, so they are consistent from system to system.
    That said, I did compare a system that could remote to rs512 to one
    that could not and found no differences. Here are the files:<br>
    <br>
    /etc/sssd/sssd.conf:<br>
    [domain/spx.net]<br>
    cache_credentials = True<br>
    krb5_store_password_if_offline = True<br>
    ipa_domain = foo.net<br>
    id_provider = ipa<br>
    auth_provider = ipa<br>
    access_provider = ipa<br>
    ipa_hostname = zw129.foo.net<br>
    chpass_provider = ipa<br>
    ipa_dyndns_update = True<br>
    ipa_server = 192.168.208.46, _srv_, 192.168.10.111, 192.168.8.49<br>
    ldap_tls_cacert = /etc/ipa/ca.crt<br>
    [domain/.spx.net]<br>
    cache_credentials = True<br>
    krb5_store_password_if_offline = True<br>
    krb5_realm = FOO.NET<br>
    ipa_domain = .foo.net<br>
    id_provider = ipa<br>
    auth_provider = ipa<br>
    access_provider = ipa<br>
    ldap_tls_cacert = /etc/ipa/ca.crt<br>
    chpass_provider = ipa<br>
    ipa_dyndns_update = True<br>
    ipa_server = 192.168.208.46, _srv_, 192.168.10.111, 192.168.8.49<br>
    ldap_netgroup_search_base = cn=ng,cn=compat,dc=foo,dc=net<br>
    dns_discovery_domain = .spx.net<br>
    [sssd]<br>
    services = nss, pam, ssh<br>
    config_file_version = 2<br>
    <br>
    domains = .spx.net, spx.net<br>
    [nss]<br>
    <br>
    [pam]<br>
    <br>
    [sudo]<br>
    <br>
    [autofs]<br>
    <br>
    [ssh]<br>
    <br>
    Is there anything else relevant that I should be showing?<br>
    <br>
    <br>
    <br>
    <br>
    <div class="moz-signature">-- <br>
      <div><b>Bret Wortman</b></div>
      <div><img src="imap://bret%2Ewortman%40damascusgrp%2Ecom@mail.messagingengine.com:993/fetch%3EUID%3E.INBOX.Drafts%3E53?format=1500w&part=1.1.2"
          height="53/" width="200"><br>
      </div>
      <div><a href="http://damascusgrp.com/">http://damascusgrp.com/</a><br>
      </div>
      <div><a href="http://about.me/wortmanbret">http://about.me/wortmanbret</a><br>
        <br>
      </div>
    </div>
  </body>
</html>

</div></body>
</html>
</table></div>