<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 12 October 2016 at 15:23, Robert Sturrock <span dir="ltr"><<a target="_blank" href="mailto:rns@unimelb.edu.au">rns@unimelb.edu.au</a>></span> wrote:<br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">Hi All.<br>
<br>
We’re attempting to setup an IPA (4.2) service on RHEL7.2 to provide better connectivity to our (large) organisational AD service for Linux clients.<br>
<br>
We have setup IPA and configured a suitable AD trust (with SID POSIX mapping) in the hope that users will be able to access IPA resources (hosts, storage) using existing AD credentials and groups.  This working fine - we can login to Linux hosts using AD credentials and see the AD groups.<br>
<br>
However, it would appear that in order to use AD group membership as the basis for Linux HBAC or sudo, we need to firstly _map_ the AD groups to an equivalent IPA (POSIX) group?  Is this correct?<br>
<br>
I can see that it’s possible to define ‘external’ *users* (not groups) in some cases, but this function appears to be deprecated.<br>
<br>
We have large numbers of groups in our AD (~50k), so obviously that’s a lot of mapping!<br>
<br></blockquote><div><br><br></div><div>Hi Rob,<br><br></div><div>It should work with groups no problems. We found a few issues with sssd <1.14. To get the up to date sssd for the hosts, the best bet is the COPR repos<br><br><a href="https://copr.fedorainfracloud.org/coprs/g/sssd/sssd-1-14/">https://copr.fedorainfracloud.org/coprs/g/sssd/sssd-1-14/</a><br><br></div><div>As for groups working with HBAC, it should work no problems. Yes to mapping though. Here is the process:<br><br></div><div>1. Create an external group for your AD users/groups<br></div><div>2. Add AD group name to that external group (this AD group's existence will be confirmed by IPA->AD trust or command will fail)<br></div><div>3. Create POSIX group<br></div><div>4. add group created in step 1 to group created in step 3<br></div><div><br></div><div>And here are some example commands to do that, as we executed them here, in the same order:<br><br>ipa group-add --desc="<a href="http://petermac.org.au">petermac.org.au</a> external map" ad_users_external --external<br>ipa group-add-member ad_external --external 'PMCI\Bioinf-Cluster'<br>ipa group-add --desc="<a href="http://petermac.org.au">petermac.org.au</a> AD users" ad_users<br>ipa group-add-member ad_users --groups ad_users_external<br><br></div><div>Let me know how you go<br><br></div><div>L.<br></div><div><br></div><div><br><br><div><div class="gmail_signature"><div dir="ltr"><div>------<br>The most dangerous phrase in the language is, "We've always done it this way."<br><br>- Grace Hopper<br></div></div></div></div>
<br> </div></div></div></div>