<div dir="ltr">Hi everyone,<div><br></div><div>After upgrading (using rpm, yum upgrade) I can no longer login to my machines using ssh. Before the upgrade everything was working fine.</div><div><br></div><div>Some loose facts:</div><div>- I'm installing IPA packages from the RHEL repositories onto RHEL systems, so I'm not sure if this is the right mailing list to ask for assistance</div><div>- I have a basic setup of IPA with minimum rules (deleted HBAC rules to single that out), using SSSD+PAM.<br></div><div>- Both other machines that are upgraded to a more recent version of sssd and it's fellow packages and servers which was not yum upgraded are affected by the issue, thus, everything seems to point at IPA.<br></div><div>- I'm able to obtain a kerberos ticket via kinit</div><div>- Running the following package version: ipa-server-4.1.0-18.el7.x86_64</div><div><br></div><div>SSH returns (adding -vvv hardly tells me anything useful):</div><div><div>Connection closed by UNKNOWN</div></div><div><br></div><div>I think that I have boiled down the issue to the following..</div><div>Both clients with upgraded sssd (1.12.2-58) and non upgraded clients (1.11.2-65) give me the following output in sssd_<domain>.log:</div><div><div>(Mon Mar 16 14:12:17 2015) [sssd[be[<a href="http://domain.com">domain.com</a>]]] [hbac_eval_user_element] (0x0080): Parse error on [cn=Modify PassSync Managers Configuration+nsuniqueid=21e13243-cbd011e4-ba3a9b82-0e1e4aae,cn=permissions,cn=pbac,dc=domain,dc=com]</div><div>(Mon Mar 16 14:12:17 2015) [sssd[be[<a href="http://domain.com">domain.com</a>]]] [hbac_ctx_to_rules] (0x0020): Could not construct eval request</div><div>(Mon Mar 16 14:12:17 2015) [sssd[be[<a href="http://domain.com">domain.com</a>]]] [ipa_hbac_evaluate_rules] (0x0020): Could not construct HBAC rules</div><div>(Mon Mar 16 14:12:17 2015) [sssd[be[<a href="http://domain.com">domain.com</a>]]] [be_pam_handler_callback] (0x0100): Backend returned: (3, 4, <NULL>) [Internal Error (System error)]</div><div>(Mon Mar 16 14:12:17 2015) [sssd[be[<a href="http://domain.com">domain.com</a>]]] [be_pam_handler_callback] (0x0100): Sending result [4][<a href="http://domain.com">domain.com</a>]</div><div>(Mon Mar 16 14:12:17 2015) [sssd[be[<a href="http://domain.com">domain.com</a>]]] [be_pam_handler_callback] (0x0100): Sent result [4][<a href="http://domain.com">domain.com</a>]</div><div>(Mon Mar 16 14:12:17 2015) [sssd[be[<a href="http://domain.com">domain.com</a>]]] [sdap_process_result] (0x2000): Trace: sh[0x7f5711099220], connected[1], ops[(nil)], ldap[0x7f571108d0e0]</div><div>(Mon Mar 16 14:12:17 2015) [sssd[be[<a href="http://domain.com">domain.com</a>]]] [sdap_process_result] (0x2000): Trace: ldap_result found nothing!</div></div><div><br></div><div>I'm happy to attach more logs if needed.</div><div>I would very much like to avoid rolling back to an older IPA version by reinstalling everything from scratch.</div><div>Any and all help would be very much appreciated.</div><div><br></div><div>Thanks in advance,</div><div>Andreas</div></div>