<div dir="ltr">Hi Jacob,<div>I'll give that a try shortly, and update with the result.</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Aug 29, 2014 at 9:43 AM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class=""><br>
On 29 Aug 2014, at 18:33, Kyle Flavin <<a href="mailto:kyle.flavin@gmail.com">kyle.flavin@gmail.com</a>> wrote:<br>
<br>
> I'm doing some testing to integrate FreeIPA into my environment.  I need to setup two domains in sssd.conf; One is my fresh install of IPA, and the other is our legacy LDAP environment.<br>
><br>
> I want to use IPA for ssh logins to servers.  I want to be able to grant/deny SSH access through IPA.  However, I still need the legacy LDAP connected to ensure our servers still see the same file level permissions in their content directories.<br>

><br>
> I added two domains to SSSD (config below), and it works fine as far as seeing all accounts and groups.  My problem is, SSSD is now allowing SSH access from both IPA and from LDAP.  I don't want users in our legacy LDAP environment to be able to login to servers.  Is there a way to say "allow SSH from this domain", and "disallow SSH from this other domain”?<br>

<br>
</div>Can you try auth_provider=none in the domain that is not supposed to authenticate?<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
><br>
<br>
> Sanitized version of my sssd.conf:<br>
><br>
> [domain/<a href="http://newipa.com" target="_blank">newipa.com</a>]<br>
> cache_credentials = True<br>
> krb5_store_password_if_offline = True<br>
> ipa_domain = <a href="http://newipa.com" target="_blank">newipa.com</a><br>
> id_provider = ipa<br>
> auth_provider = ipa<br>
> access_provider = ipa<br>
> ipa_hostname = <a href="http://client.newipa.com" target="_blank">client.newipa.com</a><br>
> chpass_provider = ipa<br>
> ipa_server = _srv_, <a href="http://ipaserver.newipa.com" target="_blank">ipaserver.newipa.com</a><br>
> ldap_tls_cacert = /etc/ipa/ca.crt<br>
><br>
> [domain/<a href="http://oldldap.com" target="_blank">oldldap.com</a>]<br>
> #legacy LDAP<br>
> ldap_id_use_start_tls = True<br>
> cache_credentials = True<br>
> ldap_search_base = dc=oldldap,dc=com<br>
> id_provider = ldap<br>
> auth_provider = ldap<br>
> chpass_provider = ldap<br>
> ldap_uri = ldap://<a href="http://ldapserver.oldldap.com" target="_blank">ldapserver.oldldap.com</a><br>
> #ldap_tls_cacertdir = /etc/openldap/cacerts<br>
> ldap_tls_reqcert = never<br>
><br>
><br>
> [sssd]<br>
> services = nss, pam, ssh<br>
> config_file_version = 2<br>
> domains = <a href="http://newipa.com" target="_blank">newipa.com</a>, <a href="http://oldldap.com" target="_blank">oldldap.com</a><br>
><br>
><br>
> Thanks.<br>
</div></div><span class="HOEnZb"><font color="#888888">> --<br>
> Manage your subscription for the Freeipa-users mailing list:<br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
<br>
</font></span></blockquote></div><br></div>