<div dir="ltr">I'm doing some testing to integrate FreeIPA into my environment.  I need to setup two domains in sssd.conf; One is my fresh install of IPA, and the other is our legacy LDAP environment.<div><br></div><div>
I want to use IPA for ssh logins to servers.  I want to be able to grant/deny SSH access through IPA.  However, I still need the legacy LDAP connected to ensure our servers still see the same file level permissions in their content directories.</div>
<div><br></div><div>I added two domains to SSSD (config below), and it works fine as far as seeing all accounts and groups.  My problem is, SSSD is now allowing SSH access from both IPA and from LDAP.  I don't want users in our legacy LDAP environment to be able to login to servers.  Is there a way to say "allow SSH from this domain", and "disallow SSH from this other domain"?</div>
<div><br></div><div>Sanitized version of my sssd.conf:</div><div><br></div><div><div>[domain/<a href="http://newipa.com">newipa.com</a>]</div><div>cache_credentials = True</div><div>krb5_store_password_if_offline = True</div>
<div>ipa_domain = <a href="http://newipa.com">newipa.com</a></div><div>id_provider = ipa</div><div>auth_provider = ipa</div><div>access_provider = ipa</div><div>ipa_hostname = <a href="http://client.newipa.com">client.newipa.com</a></div>
<div>chpass_provider = ipa</div><div>ipa_server = _srv_, <a href="http://ipaserver.newipa.com">ipaserver.newipa.com</a></div><div>ldap_tls_cacert = /etc/ipa/ca.crt</div><div><br></div><div>[domain/<a href="http://oldldap.com">oldldap.com</a>]</div>
<div>#legacy LDAP</div><div>ldap_id_use_start_tls = True</div><div>cache_credentials = True</div><div>ldap_search_base = dc=oldldap,dc=com</div><div>id_provider = ldap<br></div><div>auth_provider = ldap</div><div>chpass_provider = ldap</div>
<div>ldap_uri = ldap://<a href="http://ldapserver.oldldap.com">ldapserver.oldldap.com</a></div><div>#ldap_tls_cacertdir = /etc/openldap/cacerts</div><div>ldap_tls_reqcert = never</div><div><br></div><div><br></div><div>[sssd]</div>
<div>services = nss, pam, ssh</div><div>config_file_version = 2</div><div>domains = <a href="http://newipa.com">newipa.com</a>, <a href="http://oldldap.com">oldldap.com</a></div></div><div><br></div><div><br></div><div>Thanks.</div>
</div>