<div dir="ltr">Hi Alexander!<div><br></div><div>Here's the config (mostly auto-generated by ipa-client-install):</div><div><div>-------------------------------------------------------------------------------------------------------------------------------------</div><div><font face="monospace, monospace">[domain/gsk.loc]</font></div><div><font face="monospace, monospace">cache_credentials = True<br></font></div><div><font face="monospace, monospace">krb5_store_password_if_offline = True</font></div><div><font face="monospace, monospace">ipa_domain = gsk.loc</font></div><div><font face="monospace, monospace">id_provider = ipa</font></div><div><font face="monospace, monospace">auth_provider = ipa</font></div><div><font face="monospace, monospace">access_provider = ipa</font></div><div><font face="monospace, monospace">ipa_hostname = garage.gsk.loc</font></div><div><font face="monospace, monospace">chpass_provider = ipa</font></div><div><font face="monospace, monospace">ipa_server = _srv_, drone.gsk.loc</font></div><div><font face="monospace, monospace">ldap_tls_cacert = /etc/ipa/ca.crt</font></div><div><font face="monospace, monospace">#ldap_search_base = cn=accounts,dc=gsk,dc=loc</font></div><div><font face="monospace, monospace">ldap_user_extra_attrs = uid, krbLastSuccessfulAuth, krbLastFailedAuth</font></div><div><font face="monospace, monospace"><br></font></div><div><font face="monospace, monospace">[sssd]</font></div><div><font face="monospace, monospace">services = nss, sudo, pam, ssh, ifp</font></div><div><font face="monospace, monospace">config_file_version = 2</font></div><div><font face="monospace, monospace"><br></font></div><div><font face="monospace, monospace">domains = gsk.loc</font></div><div><font face="monospace, monospace">[nss]</font></div><div><font face="monospace, monospace">homedir_substring = /home</font></div><div><font face="monospace, monospace"><br></font></div><div><font face="monospace, monospace">[pam]</font></div><div><font face="monospace, monospace"><br></font></div><div><font face="monospace, monospace">[sudo]</font></div><div><font face="monospace, monospace"><br></font></div><div><font face="monospace, monospace">[autofs]</font></div><div><font face="monospace, monospace"><br></font></div><div><font face="monospace, monospace">[ssh]</font></div><div><font face="monospace, monospace"><br></font></div><div><font face="monospace, monospace">[pac]</font></div><div><font face="monospace, monospace"><br></font></div><div><font face="monospace, monospace">[ifp]</font></div><div><font face="monospace, monospace">allowed_uids = apache, root</font></div><div><font face="monospace, monospace">user_attributes = +uid, +krbLastSuccessfulAuth, +krbLastFailedAuth</font></div></div><div class="gmail_extra">-------------------------------------------------------------------------------------------------------------------------------------<br></div><div class="gmail_extra"><br></div><div class="gmail_extra">In debug logs I can see that sssd establishes secure connection using host/ principal:</div><div class="gmail_extra"><br></div><div class="gmail_extra"><div class="gmail_extra">(Tue Jun  7 18:08:36 2016) [sssd[be[gsk.loc]]] [sasl_bind_send] (0x0100): Executing sasl bind mech: GSSAPI, user: host/garage.gsk.loc</div><div class="gmail_extra">(Tue Jun  7 18:08:37 2016) [sssd[be[gsk.loc]]] [child_sig_handler] (0x0100): child [2377] finished successfully.</div><div class="gmail_extra">(Tue Jun  7 18:08:37 2016) [sssd[be[gsk.loc]]] [fo_set_port_status] (0x0100): Marking port 389 of server 'drone.gsk.loc' as 'working'</div><div class="gmail_extra">(Tue Jun  7 18:08:37 2016) [sssd[be[gsk.loc]]] [set_server_common_status] (0x0100): Marking server 'drone.gsk.loc' as 'working'</div><div class="gmail_extra">(Tue Jun  7 18:08:37 2016) [sssd[be[gsk.loc]]] [fo_set_port_status] (0x0400): Marking port 389 of duplicate server 'drone.gsk.loc' as 'working'</div><div class="gmail_extra"><br></div><div class="gmail_extra">But this is what happens when I query info via dbus:</div><div class="gmail_extra"><br></div><div class="gmail_extra">...</div><div class="gmail_extra"><div class="gmail_extra">(Tue Jun  7 17:55:32 2016) [sssd[be[gsk.loc]]] [sdap_attrs_add_ldap_attr] (0x2000): Adding uid [hc] to attributes of [hc].</div><div class="gmail_extra">(Tue Jun  7 17:55:32 2016) [sssd[be[gsk.loc]]] [sdap_attrs_add_ldap_attr] (0x2000): krbLastSuccessfulAuth is not available for [hc].</div><div class="gmail_extra">(Tue Jun  7 17:55:32 2016) [sssd[be[gsk.loc]]] [sdap_attrs_add_ldap_attr] (0x2000): krbLastFailedAuth is not available for [hc].</div><div class="gmail_extra">...</div><div class="gmail_extra"><div class="gmail_extra">(Tue Jun  7 17:55:32 2016) [sssd[be[gsk.loc]]] [sysdb_remove_attrs] (0x2000): Removing attribute [krbLastSuccessfulAuth] from [hc]</div><div class="gmail_extra">(Tue Jun  7 17:55:32 2016) [sssd[be[gsk.loc]]] [sysdb_remove_attrs] (0x2000): Removing attribute [krbLastFailedAuth] from [hc]</div><div class="gmail_extra">...</div><div class="gmail_extra"><br></div><div class="gmail_extra">> FreeIPA 4.x has enhanced ACIs but it mostly means there are less<br>> attributes accessible to non-authenticated (anonymous) connections. Once<br>> you are authenticated, most of the attributes which were accessed by<br>> anonymous connections before are now available.<br></div><div class="gmail_extra"><br></div><div class="gmail_extra">Where can I see and/or control these ACIs?</div><div class="gmail_extra"><br></div><div class="gmail_extra">Thanks!</div><div class="gmail_extra"><br></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-06-07 16:40 GMT+03:00 Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><span class="">On Tue, 07 Jun 2016, Konstantin M. Khankin wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
HI!<br>
<br>
I used to run FreeIPA 3.0 on CentOS 6 but recently upgraded this setup to<br>
FreeIPA 4.2 on CentOS 7.2. And I got 2 my applications failing, because<br>
they were accessing LDAP fields krb* (one by itself, another through<br>
mod_lookup_identity). For the one which makes LDAP requests by its own I<br>
created an account and LDAP happily gives an access to krb* fields once<br>
that app makes simple bind<br>
</blockquote></span>
FreeIPA 4.x has enhanced ACIs but it mostly means there are less<br>
attributes accessible to non-authenticated (anonymous) connections. Once<br>
you are authenticated, most of the attributes which were accessed by<br>
anonymous connections before are now available.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
But with the one which relies on mod_lookup_identity I'm having troubles.<br>
Even though SSSD is being authenticated through GSSAPI, LDAP does not give<br>
an access to krb* fields. I tried to create a separate service record for<br>
SSSD - no change. And I couldn't make SSSD do simple bind instead of using<br>
GSSAPI. I tried to setup FreeIPA so that by default it gives an access to<br>
krb* fields, but web interface rejected that change<br>
<br>
Could you please help me with this issue? How can I control this behavior<br>
properly, not with ugly hacks?<br>
</blockquote></span>
Can you show your SSSD configuration? host/ principals should be just<br>
fine to access krb* attributes.<span class=""><font color="#888888"><br>
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">Konstantin Khankin<br></div>
</div></div>