<div dir="ltr">Thanks a ton Alexander, this permission fixed everything :)</div><div class="gmail_extra"><br><div class="gmail_quote">2016-06-07 17:08 GMT+03:00 Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, 07 Jun 2016, Konstantin M. Khankin wrote:<br>
</span><div><div class="h5"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi Alexander!<br>
<br>
Here's the config (mostly auto-generated by ipa-client-install):<br>
-------------------------------------------------------------------------------------------------------------------------------------<br>
[domain/gsk.loc]<br>
cache_credentials = True<br>
krb5_store_password_if_offline = True<br>
ipa_domain = gsk.loc<br>
id_provider = ipa<br>
auth_provider = ipa<br>
access_provider = ipa<br>
ipa_hostname = garage.gsk.loc<br>
chpass_provider = ipa<br>
ipa_server = _srv_, drone.gsk.loc<br>
ldap_tls_cacert = /etc/ipa/ca.crt<br>
#ldap_search_base = cn=accounts,dc=gsk,dc=loc<br>
ldap_user_extra_attrs = uid, krbLastSuccessfulAuth, krbLastFailedAuth<br>
<br>
[sssd]<br>
services = nss, sudo, pam, ssh, ifp<br>
config_file_version = 2<br>
<br>
domains = gsk.loc<br>
[nss]<br>
homedir_substring = /home<br>
<br>
[pam]<br>
<br>
[sudo]<br>
<br>
[autofs]<br>
<br>
[ssh]<br>
<br>
[pac]<br>
<br>
[ifp]<br>
allowed_uids = apache, root<br>
user_attributes = +uid, +krbLastSuccessfulAuth, +krbLastFailedAuth<br>
-------------------------------------------------------------------------------------------------------------------------------------<br>
</blockquote></div></div>
Ok, for these there is a separate permission, 'System: Read User Kerberos Login Attributes'.<br>
<br>
ipa permission-show 'System: Read User Kerberos Login Attributes'<br>
<br>
It is by default assigned to 'User administrators' role. You can use<br>
'ipa role-add-member' to add others, like hosts:<br>
<br>
ipa role-add-member 'User Administrator' --hosts=garage.gsk.loc<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">Ханкин Константин<br></div>
</div>