<div dir="ltr">Hello Folks.<div><br></div><div>I am stuck at this task integrating spacewalk freeipa authorization.</div><div><br></div><div>I have followed this docs from spacewalk to enable web authentication with FreeIPA:</div><div><br></div><div><a href="https://fedorahosted.org/spacewalk/wiki/SpacewalkAndIPA">https://fedorahosted.org/spacewalk/wiki/SpacewalkAndIPA</a><br></div><div><br></div><div>I did all the steps above and trying to authenticate with the user I do not have in the internal spacewalk database, but ssd ifp with sssd_dbus should help me with that.</div><div><br></div><div>My configs:</div><div><br></div><div>sssd.conf:</div><div><br></div><div><div>[domain/<a href="http://lon1.veliosystems.com">lon1.veliosystems.com</a>]</div><div>ldap_user_extra_attrs = mail, givenname, sn, ou</div><div>cache_credentials = True</div><div>krb5_store_password_if_offline = True</div><div>krb5_realm = <a href="http://VELIOSYSTEMS.COM">VELIOSYSTEMS.COM</a></div><div>ipa_domain = <a href="http://lon1.veliosystems.com">lon1.veliosystems.com</a></div><div>id_provider = ipa</div><div>auth_provider = ipa</div><div>access_provider = ipa</div><div>ipa_hostname = <a href="http://spcwlk1.lon1.veliosystems.com">spcwlk1.lon1.veliosystems.com</a></div><div>chpass_provider = ipa</div><div>ipa_server = _srv_, <a href="http://ipa1.sec1.veliosystems.com">ipa1.sec1.veliosystems.com</a></div><div>ldap_tls_cacert = /etc/ipa/ca.crt</div><div>debug_level = 9</div><div>[sssd]</div><div>services = nss, pam, ssh, sudo, ifp</div><div>config_file_version = 2</div><div><br></div><div>domains = <a href="http://lon1.veliosystems.com">lon1.veliosystems.com</a></div><div>debug_level = 9</div><div>[nss]</div><div>homedir_substring = /home</div><div><br></div><div>[pam]</div><div><br></div><div>[sudo]</div><div><br></div><div>[autofs]</div><div><br></div><div>[ssh]</div><div><br></div><div>[pac]</div><div><br></div><div>[ifp]</div><div>allowed_uids = apache, root</div><div>user_attributes = +mail, +givenname, +sn</div><div>debug_level = 9</div><div>[root@spcwlk1.lon1 conf.d]#</div></div><div><br></div><div>when i try to login to the Spacewalk UI my pam auth passes as you can see from /var/log/httpd/ssl_error.log:</div><div><br></div><div><div>[Wed Jun 29 19:12:42 2016] [warn] mod_authnz_pam: PAM account validation failed for user admin: Permission denied</div><div>[Wed Jun 29 19:20:33 2016] [notice] mod_authnz_pam: PAM authentication passed for user dladner</div></div><div><br></div><div>But i see this after entering password:</div><div><br></div><div><img src="cid:ii_iq19zjbp0_1559da2ba4469bf8" width="479" height="222"><br>​<br></div><div><br></div><div>I did enabled sssd and sssd_ifp logs and see all the lookups go through if you need them i can provide them.</div><div>The problem is it seems on the step where spacewalk can't create a new user based on Organization Unit name.</div><div>I am a little bit lost and firstly asked Spacewalk community but no one was able to help me.</div><div>If anyone has any additional information where can I troubleshoot further, i'd appreciate it. I have integrated Jenkins UI with LDAP/IPA auth and it works just fine, so I am sure it is not IPA backend, but something in particular with spacewalk httpd modules, but still can't figure out what exactly is the issue.</div><div>If anyone have some information or done similar integration, i'd appreciate if you can share it.</div><div>Thank you,</div><div>Danila Ladner. <br></div></div>