<div dir="ltr">Hey there,<div><br></div><div>I got the same issue after upgrading my servers to 4.4.0</div><div>The problem comes from duplicate entries in :</div><div>cn=permissions,cn=pbac,dc=<wbr>example,dc=com<br></div><div><br></div><div>I think FreeIPA upgrade fails to create ACL on pbac specific entries, resulting in a conflict entry creation.</div><div><br></div><div>The problem is that SSSD on Ubuntu 14.04 is crashing when reading pbac where cn contains symbol "+".</div><div>You should check if you got these conflict entries in cn=permissions,cn=pbac,dc=<wbr>example,dc=com and remove them. </div><div><br></div><div>Ubuntu authentication was working for me directly after the suppression.</div><div><br></div><div>Regards,</div><div class="gmail_extra"><br clear="all"><div><div class="m_8999054609894282550gmail_signature" data-smartmail="gmail_signature"><font face="arial, helvetica, sans-serif"><div><span style="font-family:arial"><font face="arial, helvetica, sans-serif"><div>--</div><div><font color="#666666">Youenn Piolet</font></div><div><font size="1" color="#999999"><a href="mailto:piolet.y@gmail.com" target="_blank">piolet.y@gmail.com</a></font></div><div style="font-size:large"><span style="font-size:small"><span style="font-family:arial"><div><font face="tahoma, sans-serif"><span style="font-family:arial,verdana,tahoma,sans-serif;font-size:11px"><span style="font-family:tahoma,sans-serif;font-size:small"><font color="#666666"><span style="color:rgb(142,142,142);font-family:arial,verdana,tahoma,sans-serif;font-size:11px"><em><br></em></span></font></span></span></font></div><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font></span><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font></span></div></font></span></div></font></div></div>
<br><div class="gmail_quote">2017-01-09 8:56 GMT+01:00 Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On Fri, Jan 06, 2017 at 11:48:07AM -0500, Andy Brittingham wrote:<br>
> Sorry for the delay, was doing some troubleshooting.<br>
><br>
> Here is what I know now:<br>
><br>
> The problem is on Ubuntu hosts using older sssd versions 1.11.8 (Ubuntu<br>
> 14.04).<br>
><br>
> SSSD versions 1.13.4 (Ubuntu 16.04) and 1.13.3 (CentOS 6.8) both work.<br>
><br>
> Users in the admin group can't log into these hosts.<br>
><br>
> I created a newadmins group and assigned a new user to it. When I add the<br>
> "User Administrator" role the new user can't log into the hosts with older<br>
> sssd.<br>
><br>
> As soon as I delete the "User Administrator" role, new user has access<br>
> again.<br>
<br>
</span>So is it a role membership or a group membership that makes the<br>
difference?<br>
<span><br>
><br>
> I've pasted the last bit of logs from a sssd_domain log below. I'd be happy<br>
> to forward the entire log, or additional logs if they will be helpful.<br>
<br>
</span>The log only captures a user lookup, not a login, sorry..<br>
<br>
(This might be expected if you log in e.g. with an SSH key, in which<br>
case journald should be the first thing to look at at least to poinpoint<br>
which piece denied access..)<br>
<div class="m_8999054609894282550HOEnZb"><div class="m_8999054609894282550h5"><br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman<wbr>/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</div></div></blockquote></div><br></div></div>