<p dir="ltr">Thanks Alex for your Inputs.</p>
<p dir="ltr">On my point 2, it happens for freeipa (ldap) users only. If I create a local user, it works perfectly.</p>
<p dir="ltr">Will dig more into this.<br></p>
<p dir="ltr">-Yogesh Sharma</p>
<p dir="ltr">(Sent from my HTC)</p>
<div class="gmail_quote">On 20-Aug-2015 7:05 pm, "Alexander Bokovoy" <<a href="mailto:abokovoy@redhat.com">abokovoy@redhat.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, 20 Aug 2015, Yogesh Sharma wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi,<br>
<br>
I was reading this slide "<br>
<a href="https://www.freeipa.org/images/1/10/Freeipa30_SSSD_OpenSSH_integration.pdf" rel="noreferrer" target="_blank">https://www.freeipa.org/images/1/10/Freeipa30_SSSD_OpenSSH_integration.pdf</a>"<br>
<br>
to troubleshoot an issue which we are facing while  IPA to allow user using<br>
public Key authentication and had few questions:<br>
<br>
1. Where does IPA stores the User Public Keys, I can fetch them<br>
using sss_ssh_authorizedkeys but would be good if I we can know from where<br>
it fetches the keys. Is it in LDAP DB.<br>
</blockquote>
They are stored in the user entry in LDAP.<br>
<br>
Use 'ipa user-show <user> --raw --all' to see it.<br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
2. When I registered new users with PubKey Authentication, some of them are<br>
working fine and some got prompted for Password (this also happen when we<br>
update their public key). This usually happens when either SSH is not able<br>
to pick the private key (id_rsa) or if there is some permission issue with<br>
.ssh or authorized_keys file. I am trying to find this in IPA environment<br>
as why this is happening for certain users only though it is picking the<br>
right private_key and client side. SSSD logs and secure logs does not have<br>
much to say except authentication failed.<br>
</blockquote>
private keys are used by SSH client, so you can enable debugging output<br>
when using SSH client to see if it has issues with file system access.<br>
This has nothing to do with FreeIPA at all.<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
4. As per the above slide, OpenSSH Integration with SSSD Slide 2 says, that<br>
add know_hosts file with SSSD, However, Neither IPA Client nor IPA Server<br>
has this<br>
<br>
Configure ssh in /etc/ssh/ssh_config<br>
Get known_hosts  from SSSD<br>
GlobalKnownHostsFile<br>
/var/lib/sss/pubconf/known_hosts<br>
ProxyCommand /usr/bin/sss_ssh_knownhostsproxy -p %p %h<br>
</blockquote>
This part is automatically configured if you choose to configure SSSD<br>
and SSSD has support for knownhostsproxy.<br>
<br>
See ipa-client/ipa-install/ipa-client-install:configure_ssh_config() (or<br>
directly in /sbin/ipa-client-install).<br>
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</blockquote></div>