<div dir="ltr">Thanks for the quick reply.<div><div><br class="Apple-interchange-newline">FWIW, I'm on CentOS 7, but I haven't yet tried to apply your test sssd packages.</div></div><div><br></div><div>I don't seem to have the "ldbadd" command on my client, either.</div><div><br></div><div>Also, I tried running `<span style="line-height:1.5">sudo ipa-adtrust-install --add-sids -A pioto</span>`, and I see more in the logs now.</div><div><br></div><div>But, I don't seem to be seeing my UID changing like I'd expect, and I seem to no longer be able to run sudo on my client...</div><div><br></div><div>If I unapply the view from my client's host, though, sudo again works as expected. So, it's picking up... something... just not quite everything yet.</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Thu, Feb 18, 2016 at 10:28 AM Sumit Bose <<a href="mailto:sbose@redhat.com">sbose@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, Feb 18, 2016 at 11:26:58AM +0100, Sumit Bose wrote:<br>
> On Tue, Feb 16, 2016 at 04:23:10PM +0000, Mike Kelly wrote:<br>
> > >>  Thanks. Here's what is hopefully the relevant lines:<br>
> > ><br>
> > > I'm sorry, but these logs only capture how the original entry was<br>
> > searched, not the overrides. Can you capture the full logs since the sssd<br>
> > startup? Also please make sure the cache was invalidated prior to the<br>
> > request with sss_cache -E.<br>
> ><br>
> > Attached are the full logs since a restart of sssd.<br>
><br>
> Thank you, the logs helped. The IPA client reads the idview at startup<br>
> time either from the cache or the IPA server. Since there is of course<br>
> no idview name saved in the cache of your client the name must be looked<br>
> up from the server. The lookup of the idview name is part of the request<br>
> which reads other data about the IPA domain and possible trusted<br>
> domains. Unfortunately the current code expects that e.g. the domain SID<br>
> of the IPA domain is defined before it proceeds to read the idview.<br>
><br>
> This is of course a bug and I will try to fix it. If you would like to<br>
> try a work-around you can call ipa-adtrust-install on one of your IPA<br>
> servers. This will create the needed data on the server. It is<br>
> sufficient to call it on one server because the data will be replicated<br>
> to the other servers and since you currently not plan to add a trust to<br>
> a AD domain, you do not have to prepare additional services on other<br>
> server (with FreeIPA-4.2 this wouldn't even be necessary if you plan to<br>
> add a trust).<br>
><br>
> If you can wait a day or two I'd be happy to prepare a SSSD test build<br>
> with a fix.<br>
<br>
It looks it was easier than I expected. You can find test packages for<br>
RHEL/CentOS-7 at<br>
<br>
<a href="http://koji.fedoraproject.org/koji/taskinfo?taskID=13035051" rel="noreferrer" target="_blank">http://koji.fedoraproject.org/koji/taskinfo?taskID=13035051</a><br>
<br>
(Please tell me if you need packages for a different platform)<br>
<br>
Before you upgrade the package on a client please run<br>
<br>
# ldbadd -H /var/lib/sss/db/cache_your.domain.name.ldb << EOF<br>
dn: cn=views,cn=sysdb<br>
viewName: default<br>
EOF<br>
<br>
Otherwise SSSD will not recognise the name change and still show the<br>
original values. As an alternative you can remove the cache completely<br>
before starting the new version or unapply the idview and apply it again<br>
on the server while you restart the new sssd version on the client after<br>
each change on the server. I'll try to think of a way to make this more<br>
easy without breaking the existing detection of a change in the idview<br>
name.<br>
<br>
HTH<br>
<br>
bye,<br>
Sumit<br>
<br>
><br>
> bye,<br>
> Sumit<br>
><br>
> ><br>
> > I ran these commands:<br>
> ><br>
> > systemctl stop sssd<br>
> ><br>
> > echo '----MARK----' >> /var/log/sssd/sssd_home.pioto.org.log # so I could<br>
> > mark were the restart happened<br>
> ><br>
> > sss_cache -E<br>
> ><br>
> > systemctl start sssd<br>
> ><br>
> > sss_cache -E<br>
> ><br>
> > id pioto<br>
> ><br>
> > ----<br>
> ><br>
> > I still don't see the override being applied. Possibly because of this line?<br>
> ><br>
> > (Tue Feb 16 11:12:27 2016) [sssd[be[<a href="http://home.pioto.org" rel="noreferrer" target="_blank">home.pioto.org</a>]]]<br>
> > [ipa_get_ad_override_send]<br>
> > (0x4000): View not defined, nothing to do.<br>
> ><br>
> > So, I get the feeling that, for whatever reason, sssd isn't correctly<br>
> > deciding that my id view applies to this host, or just isn't looking it up?<br>
> ><br>
> > Is there possibly some sort of extra configuration that I've missed to tell<br>
> > SSSD to apply these views? From what I can tell, it should just pick these<br>
> > up out of the box, from the configuration built by ipa-client-install...?<br>
><br>
><br>
> > --<br>
> > Manage your subscription for the Freeipa-users mailing list:<br>
> > <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> > Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
><br>
> --<br>
> Manage your subscription for the Freeipa-users mailing list:<br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</blockquote></div><div dir="ltr">-- <br></div><div dir="ltr"><p dir="ltr">Mike Kelly</p>
</div>