<div dir="ltr"><div><div><div>The permission for /etc/krb5.conf was already set to 644. So, that aspect looks fine..<br><br></div>I think it might be something to do with the pam settings.<br><br><br></div><div>here is my sssd.conf<br>[root@ipa-client :/etc/sssd] cat sssd.con<br>[domain/<a href="http://xyz.com">xyz.com</a>]<br>krb5_auth_timeout = 30<br><br>cache_credentials = True<br>krb5_store_password_if_offline = True<br>ipa_domain = <a href="http://xyz.com">xyz.com</a><br>id_provider = ipa<br>auth_provider = ipa<br>access_provider = ipa<br>ldap_tls_cacert = /etc/ipa/ca.crt<br>ipa_hostname = x.x.x.x<br>chpass_provider = ipa<br>ipa_server = _srv_, <a href="http://ipa-master.xyz.com">ipa-master.xyz.com</a><br>dns_discovery_domain = <a href="http://xyz.com">xyz.com</a><br>[domain/default]<br><br>ldap_id_use_start_tls = True<br>cache_credentials = True<br>ldap_search_base = dc=ldap,dc=qa,dc=xyz,dc=com<br>krb5_realm = <a href="http://xyz.com">xyz.com</a><br>krb5_server = <a href="http://ipa-master.xyz.com:88">ipa-master.xyz.com:88</a><br>id_provider = ldap<br>auth_provider = ldap<br>chpass_provider = ldap<br>ldap_uri = ldaps://<a href="http://ldap-int.xyz.com:636">ldap-int.xyz.com:636</a><br>ldap_tls_cacertdir = /etc/openldap/cacerts<br>[sssd]<br>services = nss, sudo, pam, ssh<br>config_file_version = 2<br><br>domains = default, <a href="http://xyz.com">xyz.com</a><br>[nss]<br>homedir_substring = /home<br><br>[pam]<br><br>[sudo]<br><br>[autofs]<br><br>[ssh]<br><br>[pac]<br><br>[ifp]<br><br><br></div><div><br></div>Thanks,<br></div>Rakesh<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 18, 2016 at 6:52 PM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 02/18/2016 02:11 PM, Rakesh Rajasekharan wrote:<br>
> I set up freeipa on our environment and its works perfectly for most of the<br>
> hosts.. but on few I am getting a permission denied.<br>
><br>
> [root@ipa-client-1c :~] ssh tempuser@localhost<br>
> tempuser@localhost's password:<br>
> Permission denied, please try again.<br>
> tempuser@localhost's password:<br>
><br>
><br>
><br>
><br>
> I checked the hbac, but that seems to be fine<br>
><br>
> root@ipa-master-test-1b ] ipa hbactest --user=tempuser --host=x.x.x.x<br>
> --service=sshd<br>
> --------------------<br>
> Access granted: True<br>
> --------------------<br>
>   Matched rules: allow_all<br>
><br>
><br>
> Another thing I noticed is the nsswitch.conf had the below entries after<br>
> the freeipa installation<br>
> passwd:     files sss ldap<br>
> shadow:     files sss ldap<br>
> group:      files sss ldap<br>
><br>
> hosts:      files dns<br>
><br>
><br>
> bootparams: nisplus [NOTFOUND=return] files<br>
><br>
> ethers:     files<br>
> netmasks:   files<br>
> networks:   files<br>
> protocols:  files<br>
> rpc:        files<br>
> services:   files sss<br>
><br>
> netgroup:   files sss ldap<br>
><br>
> publickey:  nisplus<br>
><br>
> automount:  files ldap<br>
> aliases:    files nisplus<br>
><br>
> sudoers: files sss<br>
><br>
><br>
> The ldap shouldn't be there above I guess..<br>
><br>
> and from the logs, i have the below errors<br>
><br>
> ==> /var/log/secure <==<br>
> Feb 18 03:29:33 ip-x-x-x-x sshd[24851]: pam_unix(sshd:auth): authentication<br>
> failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x  user=tempuser<br>
> Feb 18 03:29:33 ip-x-x-x-x sshd[24851]: pam_sss(sshd:auth): authentication<br>
> failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x user=tempuser<br>
> Feb 18 03:29:33 ip-x-x-x-x sshd[24851]: pam_sss(sshd:auth): received for<br>
> user tempuser: 4 (System error)<br>
> Feb 18 03:29:35 ip-x-x-x-x sshd[24851]: Failed password for tempuser from<br>
> x.x.x.x port 36687 ssh2<br>
> Feb 18 03:29:39 ip-x-x-x-x sshd[24853]: Connection closed by x.x.x.x<br>
> Feb 18 03:34:17 ip-x-x-x-x sshd[25108]: pam_unix(sshd:auth): authentication<br>
> failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=127.0.0.1  user=tempuser<br>
> Feb 18 03:34:17 ip-x-x-x-x sshd[25108]: pam_sss(sshd:auth): authentication<br>
> failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=127.0.0.1 user=tempuser<br>
> Feb 18 03:34:17 ip-x-x-x-x sshd[25108]: pam_sss(sshd:auth): received for<br>
> user tempuser: 4 (System error)<br>
> Feb 18 03:34:19 ip-x-x-x-x sshd[25108]: Failed password for tempuser from<br>
> 127.0.0.1 port 59870 ssh2<br>
><br>
><br>
> ==> /var/log/messages <==<br>
> Feb 18 03:37:45 ip-x-x-x-x sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]: Shutting down<br>
> Feb 18 03:37:45 ip-x-x-x-x sssd: Starting up<br>
> Feb 18 03:37:46 ip-x-x-x-x sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]: Starting up<br>
> Feb 18 03:37:46 ip-x-x-x-x sssd[nss]: Starting up<br>
> Feb 18 03:37:46 ip-x-x-x-x sssd[sudo]: Starting up<br>
> Feb 18 03:37:46 ip-x-x-x-x sssd[pam]: Starting up<br>
> Feb 18 03:37:46 ip-x-x-x-x sssd[pac]: Starting up<br>
> Feb 18 03:37:46 ip-x-x-x-x sssd[ssh]: Starting up<br>
> Feb 18 03:37:46 ip-x-x-x-x sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]: dereference processing failed<br>
> : Input/output error<br>
> Feb 18 03:37:46 ip-x-x-x-x sssd[be[<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]]: dereference processing failed<br>
> : Input/output error<br>
> Feb 18 03:38:41 ip-x-x-x-x [sssd[krb5_child[25324]]]: Permission denied<br>
> Feb 18 03:38:41 ip-x-x-x-x [sssd[krb5_child[25324]]]: Permission denied<br>
<br>
</div></div>Could it be caused by /etc/krb5.conf permissions as here:<br>
<a href="https://lists.fedorahosted.org/pipermail/sssd-users/2014-August/002103.html" rel="noreferrer" target="_blank">https://lists.fedorahosted.org/pipermail/sssd-users/2014-August/002103.html</a><br>
?<br>
<br>
Some advise is also here:<br>
<a href="http://serverfault.com/questions/697113/linux-ad-integration-unable-to-login-when-using-windows-server-2012-dc" rel="noreferrer" target="_blank">http://serverfault.com/questions/697113/linux-ad-integration-unable-to-login-when-using-windows-server-2012-dc</a><br>
<span class="HOEnZb"><font color="#888888"><br>
Martin<br>
</font></span></blockquote></div><br></div>