<div dir="ltr"><div><div>Sorry for misunderstanding. <br><br></div><div>I understand HBAC rules will not work for Centos 5. I just wanted to make sure disabling "allow all" rule and adding new HBAC rules won't interfere with AD users logging on Centos 5.<br></div></div></div><br><div class="gmail_quote">On Mon, Apr 20, 2015 at 5:03 PM Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com">abokovoy@redhat.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Mon, 20 Apr 2015, Srdjan Dutina wrote:<br>
>Just found in<br>
><a href="http://www.freeipa.org/images/0/0d/FreeIPA33-legacy-clients.pdf" target="_blank">http://www.freeipa.org/images/0/0d/FreeIPA33-legacy-clients.pdf</a> the next<br>
>sentence: "If you have HBAC's allow_all rule disabled, you will need to<br>
>allow system-auth service on the FreeIPA  master, so that authentication of<br>
>the AD users can be performed."<br>
>Is this true for FreeIPA 4.1.0 also and how could I do this?<br>
Either you are reading it wrong or I don't get where you want to apply<br>
HBAC rules because this is for IPA masters, not legacy clients per se.<br>
Yes, you nede to create HBAC service named 'system-auth' and grant<br>
access to it to AD users on IPA masters, but all it will allow you is to<br>
authenticate AD users via compat tree.<br>
<br>
If your RHEL5 SSSD clients attempt to run own HBAC rule checks, AD users<br>
cannot be checked by those rules.<br>
<br>
<br>
<br>
--<br>
/ Alexander Bokovoy<br>
</blockquote></div>