<div dir="ltr">They are authenticated using CRYPT passwords. i.e. Even after a user is disabled in ipa, it's entry is still visible in ypcat passwd on the clients. </div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 13, 2016 at 4:17 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, 13 Jan 2016, Prasun Gera wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I think I've solved this. I don't know what or who enabled it, but for some<br>
reason the original NIS service (ypserv) was running on the server. That<br>
was taking precedence over ipa's fake NIS, and causing problems. I have now<br>
deleted the maps and commented them out in the Makefile so that it doesn't<br>
get enabled accidentally again.<br>
<br>
I do see another problem though. In an attempt to clean up a lot of old<br>
users, I have disabled them in the webui. This works for ipa clients and<br>
access is denied, but the users can still log in on the old NIS clients. Is<br>
this a known limitation ?<br>
</blockquote></span>
How they are authenticated on the NIS clients? FreeIPA does not provide<br>
shadow map.<span class="HOEnZb"><font color="#888888"><br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>