<div dir="ltr">HI,<div><br></div><div>"<span style="font-size:12.8px">The other is that the groups might not show up on the client (do they?)"</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">how can i check that.</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Thanks</span></div><div><span style="font-size:12.8px">Ben</span></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 29, 2016 at 5:59 PM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, Apr 29, 2016 at 05:38:30PM +0300, Ben .T.George wrote:<br>
> Hi List,<br>
><br>
> I have working setup of one AD, one IPA server and one client server. by<br>
> default i can login to client server by using AD username.<br>
><br>
> i want to apply HBAC rules against this client server. For that i have done<br>
> below steps.<br>
><br>
> 1. created External group in IPA erver<br>
> 2. created local POSIX group n IPA server<br>
> 3. Added AD group to external group<br>
> 4. added POSIX group to external group.<br>
><br>
> After that  have created HBAC rule by adding both local and external IPA<br>
> groups, added sshd as service and selected service group as sudo.<br>
><br>
> i have applied this HBAC rule to client server and from web UI and while<br>
> testing HBAC from web, i am getting access denied .<br>
<br>
</span>Sorry, not enough info.<br>
<br>
One guess would be that you need to add the "sudo-i" service as well.<br>
The other is that the groups might not show up on the client (do they?)<br>
<br>
Anyway, it might be good idea to follow<br>
<a href="https://fedorahosted.org/sssd/wiki/Troubleshooting" rel="noreferrer" target="_blank">https://fedorahosted.org/sssd/wiki/Troubleshooting</a><br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div>