<div dir="ltr">This is an old thread, but I can confirm that this is still an issue on RHEL 7.2 + 4.2. This creates problems when there are roles associated with groups, but group membership through GID is broken. I had migrated all old NIS accounts into ipa. I then added the host enrollment role to a particular group. Now, unless I add the users to the group explicitly, they won't get the role, even if their gid is the same as the gid of the group. </div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Aug 24, 2015 at 5:01 AM, David Kupka <span dir="ltr"><<a href="mailto:dkupka@redhat.com" target="_blank">dkupka@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 21/08/15 15:21, bahan w wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello !<br>
<br>
I contact you because I notice something strange with IPA environment.<br>
<br>
I created a group :<br>
ipa group-add g1 --desc="my first group"<br>
<br>
Then I created a user with the GID of g1<br>
GID1=`ipa group-show g1 | awk '/GID/ {printf("%s",$2)}'`<br>
ipa user-add --first=u1 --last=u1 --homedir=/home/u1 --shell=/bin/bash<br>
--gidnumber=${GID1} u1<br>
<br>
Then when I perform ipa group-show g1 command, I got the following result :<br>
###<br>
   Group name: g1<br>
   Description: my first group<br>
   GID: <gid1><br>
###<br>
<br>
Same for ipa user-show u1 :<br>
###<br>
   User login: u1<br>
   First name: u1<br>
   Last name: u1<br>
   Home directory: /home/u1<br>
   Login shell: /bin/bash<br>
   Email address: u1@<MYDOMAIN><br>
   UID: <uid1><br>
   GID: <gid1><br>
   Account disabled: False<br>
   Password: False<br>
   Member of groups: ipausers<br>
   Kerberos keys available: False<br>
###<br>
<br>
These 2 commands does not see u1 as a member of g1.<br>
When I try the command id u1, I can see the group :<br>
<br>
###<br>
id u1<br>
uid=<uid1>(u1) gid=<gid1>(g1) groups=<gid1>(g1)<br>
###<br>
<br>
Is it the normal behaviour of these IPA commands ?<br>
<br>
Best regards.<br>
<br>
Bahan<br>
<br>
<br>
</blockquote>
<br></div></div>
Hello!<br>
<br>
I'm not sure if this is intended and/or correct behavior or not.<br>
Looking at /etc/passwd and /etc/group I see it behaves similarly in a way.<br>
<br>
You can have following entries in the aforementioned files<br>
<br>
[/etc/group]<br>
...<br>
g1:x:<gid1>:<br>
...<br>
<br>
[/etc/passwd]<br>
...<br>
u1:x:<uid1>:<gid1>::/home/u1:/bin/bash<br>
...<br>
<br>
Looking in /etc/group you can't see user 'u1' is member of group 'g1' but tools like id, groups, getent shows this information.<br>
<br>
On the other hand it would be useful to show these "implicit" members in group-show output.<br>
Could you please file a ticket (<a href="https://fedorahosted.org/freeipa/newticket" rel="noreferrer" target="_blank">https://fedorahosted.org/freeipa/newticket</a>)?<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
David Kupka<br>
<br>
-- <br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div>