<div dir="ltr"><div>Ok, but now I've an other problem :)<br></div><div><br>If I disable the default allow_all HBAC rule creating one custom HBAC rule that enable ad_admins to access any host any service, kerberos ticket via ssh does not works.<br></div><div>Username/password authentication with the same custom HBAC rules works.<br><br></div><div>SSH logs with kerberos authentication:<br>Sep 14 11:04:43 ipa-client01 sshd[1728]: Authorized to <a href="mailto:Administrator@mydomain.com">Administrator@mydomain.com</a>, krb5 principal <a href="mailto:Administrator@MYDOMAIN.COM">Administrator@MYDOMAIN.COM</a> (krb5_kuserok)<br>Sep 14 11:04:43 ipa-client01 sshd[1728]: pam_sss(sshd:account): Access denied for user <a href="mailto:Administrator@mydomain.com">Administrator@mydomain.com</a>: 6 (Permission denied)<br>Sep 14 11:04:43 ipa-client01 sshd[1729]: fatal: Access denied for user <a href="mailto:Administrator@mydomain.com">Administrator@mydomain.com</a> by PAM account configuration<br><br></div><div>SSH logs with username/password authentication:<br>Sep 14 11:10:30 ipa-client01 sshd[1766]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.0.252  user=<a href="mailto:Administrator@mydomain.com">Administrator@mydomain.com</a><br>Sep 14 11:10:31 ipa-client01 sshd[1766]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.0.252 user=<a href="mailto:Administrator@mydomain.com">Administrator@mydomain.com</a><br>Sep 14 11:10:31 ipa-client01 sshd[1766]: Accepted password for <a href="mailto:Administrator@mydomain.com">Administrator@mydomain.com</a> from 192.168.0.252 port 49590 ssh2<br>Sep 14 11:10:31 ipa-client01 sshd[1766]: pam_unix(sshd:session): session opened for user <a href="mailto:Administrator@mydomain.com">Administrator@mydomain.com</a> by (uid=0)<br><br></div><div>If I enable allow_all HBAC rule kerberos authentication works.<br>Maybe is there something else to configure?<br></div><div><br></div><div>Thanks, Morgan<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-09-14 9:48 GMT+02:00 Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Mon, 14 Sep 2015, Morgan Marodin wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
The Pro edition.<br>
<br>
I've solved my connection problem, I have to specify manually the username (<br>
<a href="mailto:name.surname@ad_domain.com" target="_blank">name.surname@ad_domain.com</a>) with Microsoft SSPI.<br>
In this mode is ok, but using Putty "Use system username" do not works for<br>
me.<br>
<br>
<br>
I don't know why :)<br>
</blockquote></span>
A problem is in the fact that when you use PuTTY's 'use system<br>
username', it does only provide unqualified name there, e.g.<br>
Administrator, not AD\Administrator or Administrator@AD.TEST. On IPA<br>
client side AD users are fully qualified and thus a user you are trying<br>
to login to (Administrator) is not the same as the user you are<br>
(Adminsitrator@ad.test).<span class="HOEnZb"><font color="#888888"><br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature">Morgan Marodin<br>email: <a href="mailto:morgan@marodin.it" target="_blank">morgan@marodin.it</a><br>mobile: +39.3477829069<br></div>
</div>