<div dir="ltr"><div><div>Just some additional information, this is a default install however as a modification after running the ipa-client-install executable I followed these instructions  so that users get an automatically-created home directory:<br><br><a href="https://debian-administration.org/article/403/Giving_users_a_home_directory_automatically">https://debian-administration.org/article/403/Giving_users_a_home_directory_automatically</a><br><br></div>I greatly appreciate your time and efforts on this problem.<br><br></div>Jeff<br><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Aug 14, 2016 at 2:16 PM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Pavel, can you help us with this thread?<br>
<br>
> On 12 Aug 2016, at 21:57, Jeff Goddard <<a href="mailto:jgoddard@emerlyn.com">jgoddard@emerlyn.com</a>> wrote:<br>
><br>
><br>
><br>
> On Fri, Aug 12, 2016 at 3:53 PM, Justin Stephenson <<a href="mailto:jstephen@redhat.com">jstephen@redhat.com</a>> wrote:<br>
> In the CentOS/RHEL 7 version of sssd, a NIS netgroup is created automatically in the IPA compat tree under 'cn=ng,cn=compat,$suffix' because sudo has no understanding of hostgroups.<br>
><br>
> You should be able to query this on a client with<br>
>       # getent netgroup office<br>
><br>
> This should return nisNetgroupTriple for each host in the hostgroup<br>
>      (<a href="http://ipa-client-1.example.com" rel="noreferrer" target="_blank">ipa-client-1.example.com</a>,-,<a href="http://example.com" rel="noreferrer" target="_blank">ex<wbr>ample.com</a>) (<a href="http://ipa-client-2.example.com" rel="noreferrer" target="_blank">ipa-client-2.example.com</a>,-,<a href="http://example.com" rel="noreferrer" target="_blank">ex<wbr>ample.com</a>)<br>
><br>
> I would check this in your environment between working and non-working systems.<br>
> I believe in later versions of sssd they added IPA sudo schema support to eliminate the need for the compat tree so this could be related to the issue if newer ubuntu clients are not working but CentOS is working.<br>
><br>
> What version of sssd are you running?<br>
> Kind regards,<br>
><br>
> Justin Stephenson<br>
> On 08/12/2016 02:35 PM, Jeff Goddard wrote:<br>
>> I made the edit as suggested - removing nis and just leaving sss - restarted sssd and then re-tried. I also tried with files sss. Still getting the same result.<br>
>><br>
>> Thanks,<br>
>><br>
>> Jeff<br>
> The query returns the expect results:<br>
><br>
>  getent netgroup office<br>
> office                (<a href="http://docker-dev-01.internal.emerlyn.com" rel="noreferrer" target="_blank">docker-dev-01.internal.<wbr>emerlyn.com</a>,-,<a href="http://internal.emerlyn.com" rel="noreferrer" target="_blank">internal.<wbr>emerlyn.com</a>) (<a href="http://docker-dev-02.internal.emerlyn.com" rel="noreferrer" target="_blank">docker-dev-02.internal.<wbr>emerlyn.com</a>,-,<a href="http://internal.emerlyn.com" rel="noreferrer" target="_blank">internal.<wbr>emerlyn.com</a>) (<a href="http://docker-dev-03.internal.emerlyn.com" rel="noreferrer" target="_blank">docker-dev-03.internal.<wbr>emerlyn.com</a>,-,<a href="http://internal.emerlyn.com" rel="noreferrer" target="_blank">internal.<wbr>emerlyn.com</a>) [more hosts]<br>
><br>
> sssd version is 1.13.4<br>
><br>
> Jeff<br>
><br>
><br>
><br>
<br>
</blockquote></div><br></div><div class="gmail_extra">Jeff<br></div></div>