<div dir="ltr"><div><div><div>Great - thank you. That worked. <br><br></div>Unfortunately SELinux creates too much overhead on a subset of our servers, so we have it disabled.<br><br></div>cheers<br></div>L.<br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>------<br>The most dangerous phrase in the language is, "We've always done it this way."<br><br>- Grace Hopper<br></div></div></div></div>
<br><div class="gmail_quote">On 16 November 2016 at 19:39, Lukas Slebodnik <span dir="ltr"><<a href="mailto:lslebodn@redhat.com" target="_blank">lslebodn@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On (16/11/16 11:46), Lachlan Musicman wrote:<br>
>I don't know what I've done wrong, but when I use ipa-client-install on a<br>
>new host to add to my one way trust domain, I now have a<br>
>[domain/shadowutils] stanza.<br>
><br>
>This first happened a couple of weeks ago, I saw this bug and thought "it<br>
>will be solved soon".<br>
><br>
><a href="https://bugzilla.redhat.com/show_bug.cgi?id=1369118" rel="noreferrer" target="_blank">https://bugzilla.redhat.com/<wbr>show_bug.cgi?id=1369118</a><br>
><br>
>The report says it's been resolved in a recent advisory but I'm still<br>
>seeing the error.<br>
><br>
</span>It was fixed by reverting upstream commit which<br>
introduced such seature.<br>
<a href="https://git.fedorahosted.org/cgit/sssd.git/commit/?id=59744cff6edb106ae799b2321cb8731edadf409a" rel="noreferrer" target="_blank">https://git.fedorahosted.org/<wbr>cgit/sssd.git/commit/?id=<wbr>59744cff6edb106ae799b2321cb873<wbr>1edadf409a</a><br>
<span class=""><br>
>Is it because I'm using sssd 1.14.2-1 from COPR instead of the centrally<br>
>supplied sssd?<br>
><br>
</span>Yes, theis feature is still available in upstream/fedora.<br>
<br>
A) "domain/shadowutils" should not cause any problems.<br>
   If yes then it should be also reproducible on fedora<br>
   please filae a bug.<br>
<br>
B) It does not happen with SELinux in enforcing mode.<br>
   Another reason for "setenforce 1" :-)<br>
<span class="HOEnZb"><font color="#888888"><br>
LS<br>
</font></span></blockquote></div><br></div>