<div dir="ltr"><div><div><div><div>>Why is both pam_ldap and pam_sss in the PAM stack? This seems a bit<br>
>wrong..<br></div>This was the pointer... there was a prior installation of openldap and the entries for ldap were still there ..<br></div><br>auth        sufficient    pam_ldap.so use_first_pass<br><br>account     [default=bad success=ok user_unknown=ignore] pam_ldap.so<br><br>password    sufficient    pam_ldap.so use_authtok<br><br>session     optional      pam_ldap.so<br><br><br></div>I removed it and everything works perfectly...<br><br></div>Thanks!!<br><div><div><div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 15, 2016 at 9:16 PM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">On Mon, Feb 15, 2016 at 06:59:57PM +0530, Rakesh Rajasekharan wrote:<br>
> this is what I have in /var/log/secure<br>
><br>
> Feb 15 12:22:33 ipa-xyz sshd[13499]: pam_unix(sshd:auth): authentication<br>
> failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x  user=tempuser<br>
> Feb 15 12:22:33 ipa-xyz sshd[13499]: pam_sss(sshd:auth): authentication<br>
> failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x user=tempuser<br>
> Feb 15 12:22:33 ipa-xyz sshd[13499]: pam_sss(sshd:auth): received for user<br>
> tempuser: 7 (Authentication failure)<br>
> Feb 15 12:22:33 ipa-xyz sshd[13499]: pam_ldap: ldap_simple_bind Can't<br>
> contact LDAP server<br>
> Feb 15 12:22:33 ipa-xyz sshd[13499]: pam_ldap: reconnecting to LDAP<br>
> server...<br>
> Feb 15 12:22:33 ipa-xyz sshd[13499]: pam_ldap: ldap_simple_bind Can't<br>
> contact LDAP server<br>
<br>
</span>Why is both pam_ldap and pam_sss in the PAM stack? This seems a bit<br>
wrong..<br>
<div><div class="h5"><br>
> Feb 15 12:22:35 ipa-xyz sshd[13499]: Failed password for tempuser from<br>
> x.x.x.x port 34318 ssh2<br>
> Feb 15 12:22:37 ipa-xyz sshd[13500]: Connection closed by x.x.x.x<br>
> Feb 15 12:31:32 ipa-xyz sshd[13859]: Accepted publickey for root from<br>
> x.x.x.x port 56275 ssh2<br>
> Feb 15 12:31:32 ipa-xyz sshd[13859]: pam_unix(sshd:session): session opened<br>
> for user root by (uid=0)<br>
> Feb 15 13:01:32 ipa-xyz sshd[13859]: Received disconnect from x.x.x.x: 11:<br>
> disconnected by user<br>
><br>
> but both 389 and 636 ports are listening<br>
> # ] netstat -tunlp |grep 636<br>
> tcp        0      0 :::636                      :::*<br>
> LISTEN      9564/ns-slapd<br>
><br>
> #] netstat -tunlp |grep 389<br>
> tcp        0      0 :::7389                     :::*<br>
> LISTEN      9495/ns-slapd<br>
> tcp        0      0 :::389                      :::*<br>
> LISTEN      9564/ns-slapd<br>
><br>
><br>
> And from /var/log/sssd/sssd_xyz.com.log<br>
><br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [pam_print_data] (0x0100):<br>
> command: PAM_AUTHENTICATE<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [pam_print_data] (0x0100):<br>
> domain: <a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a><br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [pam_print_data] (0x0100):<br>
> user: tempuser<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [pam_print_data] (0x0100):<br>
> service: sshd<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [pam_print_data] (0x0100):<br>
> tty: ssh<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [pam_print_data] (0x0100):<br>
> ruser:<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [pam_print_data] (0x0100):<br>
> rhost: x.x.x.x<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [pam_print_data] (0x0100):<br>
> authtok type: 1<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [pam_print_data] (0x0100):<br>
> newauthtok type: 0<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [pam_print_data] (0x0100):<br>
> priv: 1<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [pam_print_data] (0x0100):<br>
> cli_pid: 13499<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [pam_print_data] (0x0100):<br>
> logon name: not set<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]]<br>
> [krb5_auth_prepare_ccache_name] (0x1000): No ccache file for user<br>
> [tempuser] found.<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [fo_resolve_service_send]<br>
> (0x0100): Trying to resolve service 'IPA'<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [get_server_status]<br>
> (0x1000): Status of server '<a href="http://ipa.xyz.com" rel="noreferrer" target="_blank">ipa.xyz.com</a>' is 'working'<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [get_port_status] (0x1000):<br>
> Port status of port 0 for server '<a href="http://ipa.xyz.com" rel="noreferrer" target="_blank">ipa.xyz.com</a>' is 'working'<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [get_server_status]<br>
> (0x1000): Status of server '<a href="http://ipa.xyz.com" rel="noreferrer" target="_blank">ipa.xyz.com</a>' is 'working'<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [be_resolve_server_process]<br>
> (0x1000): Saving the first resolved server<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [be_resolve_server_process]<br>
> (0x0200): Found address for server <a href="http://ipa.xyz.com" rel="noreferrer" target="_blank">ipa.xyz.com</a>: [x.x.x.x] TTL 7200<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [write_pipe_handler]<br>
> (0x0400): All data has been sent!<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [child_sig_handler]<br>
> (0x1000): Waiting for child [13501].<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [child_sig_handler]<br>
> (0x0100): child [13501] finished successfully.<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [read_pipe_handler]<br>
> (0x0400): EOF received, client finished<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [be_pam_handler_callback]<br>
> (0x0100): Backend returned: (0, 7, <NULL>) [Success]<br>
<br>
</div></div>I think you need to look into krb5_child.log with a high debug_level.<br>
<div class=""><div class="h5"><br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [be_pam_handler_callback]<br>
> (0x0100): Sending result [7][<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]<br>
> (Mon Feb 15 12:22:33 2016) [sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]] [be_pam_handler_callback]<br>
> (0x0100): Sent result [7][<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]<br>
><br>
><br>
><br>
> Thanks,<br>
> Rakesh<br>
><br>
><br>
> On Mon, Feb 15, 2016 at 3:45 PM, Jakub Hrozek <<a href="mailto:jhrozek@redhat.com">jhrozek@redhat.com</a>> wrote:<br>
><br>
> > On Mon, Feb 15, 2016 at 10:24:23AM +0530, Rakesh Rajasekharan wrote:<br>
> > > hbac seems to be fine<br>
> > ><br>
> > ><br>
> > > ipa hbactest --user=q-temp --host=x.x.x.x --service=sshd<br>
> > > --------------------<br>
> > > Access granted: True<br>
> > > --------------------<br>
> > >   Matched rules: allow_all<br>
> > ><br>
> > ><br>
> > > I see this in the sssd.log<br>
> > ><br>
> > > (Mon Feb 15 04:49:18 2016) [sssd[nss]] [sss_ncache_check_str] (0x2000):<br>
> > > Checking negative cache for [NCE/USER/<a href="http://xyz.com/q-temp" rel="noreferrer" target="_blank">xyz.com/q-temp</a>]<br>
> > > (Mon Feb 15 04:49:18 2016) [sssd[nss]] [nss_cmd_getpwnam_search]<br>
> > (0x0100):<br>
> > > Requesting info for [<a href="mailto:q-temp@xyz.com">q-temp@xyz.com</a>]<br>
> > > (Mon Feb 15 04:49:18 2016) [sssd[nss]] [check_cache] (0x0400): Cached<br>
> > entry<br>
> > > is valid, returning..<br>
> > > (Mon Feb 15 04:49:18 2016) [sssd[nss]] [nss_cmd_getpwnam_search]<br>
> > (0x0400):<br>
> > > Returning info for user [<a href="mailto:q-temp@xyz.com">q-temp@xyz.com</a>]<br>
> > > (Mon Feb 15 04:49:18 2016) [sssd[nss]] [client_recv] (0x0200): Client<br>
> > > disconnected!<br>
> > > (Mon Feb 15 04:49:18 2016) [sssd[nss]] [client_destructor] (0x2000):<br>
> > > Terminated client [0x23d2f80][20]<br>
> > > (Mon Feb 15 04:49:27 2016) [sssd[nss]] [sbus_get_sender_id_send]<br>
> > (0x2000):<br>
> > > Not a sysbus message, quit<br>
> ><br>
> > What does /var/log/secure say?<br>
> ><br>
> > Also you pasted the NSS log, the domain log would be more useful here.<br>
> ><br>
</div></div></blockquote></div><br></div></div></div></div></div></div></div>