<div dir="ltr">I used compat because that is what ipa-advise provided me. I did not pay attention to that part.<br>And yes, that did the trick :)<br><br>Thank you very much<div>Gustavo</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Sep 20, 2015 at 8:51 AM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Sat, Sep 19, 2015 at 07:47:55PM +0300, Alexander Bokovoy wrote:<br>
> On Sat, 19 Sep 2015, Jakub Hrozek wrote:<br>
> ><br>
> >>On 18 Sep 2015, at 19:17, Gustavo Mateus <<a href="mailto:gustavo.mateus@gmail.com">gustavo.mateus@gmail.com</a>> wrote:<br>
> >><br>
> >>That only shows this:<br>
> >><br>
> >># extended LDIF<br>
> >>#<br>
> >># LDAPv3<br>
> >># base <cn=compat,dc=my,dc=domain,dc=com> with scope subtree<br>
> >># filter: (&(uid=admin)(objectclass=posixAccount)(uid=*)(&(uidNumber=*)(!(uidNumber=0))))<br>
> >># requesting: ALL<br>
> >>#<br>
> >><br>
> >># admin, users, compat, <a href="http://my.domain.com" rel="noreferrer" target="_blank">my.domain.com</a><br>
> >>dn: uid=admin,cn=users,cn=compat,dc=my,dc=domain,dc=com<br>
> >>cn: Administrator<br>
> >>uidNumber: 1742200000<br>
> >>objectClass: posixAccount<br>
> >>objectClass: top<br>
> >>gidNumber: 1742200000<br>
> >>gecos: Administrator<br>
> >>loginShell: /bin/bash<br>
> >>homeDirectory: /home/admin<br>
> >>uid: admin<br>
> >><br>
> ><br>
> >Since sshPublicKey is not listed here, the ACIs still prevent you from<br>
> >reading the attribute. You need to either bind as a user who has<br>
> >permissions to read it or make the public key world-readable (I don't<br>
> >think making it world-readable would be an issue since it's a pubkey)<br>
> Compat tree doesn't have ipaSSHPublicKey.<br>
<br>
</div></div>Oops, good catch. I totally missed the search base is compat.<br>
<div class="HOEnZb"><div class="h5"><br>
><br>
> Why are you pointing to the compat tree instead of the normal one?<br>
> You should only use compat tree for two reasons:<br>
> - your POSIX client does not understand RFC2307bis<br>
> - your POSIX client does not use recent SSSD and you want to have trust to<br>
>   Active Directory working.<br>
><br>
> For the rest of cases you should really point your POSIX clients to the<br>
> main subtree, not the compat one.<br>
> --<br>
> / Alexander Bokovoy<br>
</div></div></blockquote></div><br></div>