<div dir="ltr">Just found in <a href="http://www.freeipa.org/images/0/0d/FreeIPA33-legacy-clients.pdf">http://www.freeipa.org/images/0/0d/FreeIPA33-legacy-clients.pdf</a> the next sentence: "If you have HBAC's allow_all rule disabled, you will need to allow system-auth service on the FreeIPA  master, so that authentication of the AD users can be performed." <br>Is this true for FreeIPA 4.1.0 also and how could I do this?<br></div><br><div class="gmail_quote">On Mon, Apr 20, 2015 at 4:51 PM Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com">abokovoy@redhat.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Mon, 20 Apr 2015, Srdjan Dutina wrote:<br>
>Thank for quick answer!<br>
><br>
>If I disable HBAC rule, I can still login to Centos 5 client using IPA<br>
>user, but not using AD user. Is there a workaround?<br>
>I need "allow_all" disabled because of newer IPA clients.<br>
There is no workaround so far.<br>
<br>
--<br>
/ Alexander Bokovoy<br>
</blockquote></div>