<div dir="ltr"><div><div><div><div><div><div><div><div><div><div><div><div>Hi,<br><br></div>I am running a freeipa server version 4.4.0 and have setup hbac rules which work fine<br><br></div>However, just on one single host , I am seeing this issue wherein it is not allowing me ssh access.<br></div>When I check my hbac permissions.. it say access granted but on trying to login.. it blocks me<br><br></div>On the Freeipa server<br>ipa hbactest --user=p-testhbac --host=>my-test-host> --service=sshd<br><br>--------------------<br>Access granted: True<br>--------------------<br>  Matched rules: ipa-alluser-access<br>  Not matched rules: ipa-alluser-sudo-access<br><br></div>On the client I get this message while doing an ssh "Connection closed by 10.0.30.28".<br><br></div>In /var/log/secure I see these messages<br>Feb  5 13:57:41 10 sshd[26692]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.4.6 user=p-testhbac<br>Feb  5 13:57:41 10 sshd[26692]: pam_sss(sshd:account): Access denied for user p-testhbac: 4 (System error)<br>Feb  5 13:57:41 10 sshd[26692]: Failed password for p-testhbac from 10.0.4.6 port 40540 ssh2<br>Feb  5 13:57:41 10 sshd[26692]: fatal: Access denied for user p-testhbac by PAM account configuration [preauth]<br><br></div>/var/log/sssd/sssd_domain.log I see this error at the end,<br><br><br>(Sun Feb  5 13:57:41 2017) [sssd[be[<a href="http://mydomain.com">mydomain.com</a>]]] [dp_req_destructor] (0x0400): DP Request [PAM SELinux #13]: Request removed.<br>(Sun Feb  5 13:57:41 2017) [sssd[be[<a href="http://mydomain.com">mydomain.com</a>]]] [dp_req_destructor] (0x0400): Number of active DP request: 0<br>(Sun Feb  5 13:57:41 2017) [sssd[be[<a href="http://mydomain.com">mydomain.com</a>]]] [dp_pam_reply] (0x1000): DP Request [PAM Account #12]: Sending result [4][<a href="http://mydomain.com">mydomain.com</a>]<br>(Sun Feb  5 13:57:41 2017) [sssd[be[<a href="http://mydomain.com">mydomain.com</a>]]] [child_sig_handler] (0x1000): Waiting for child [26795].<br>(Sun Feb  5 13:57:41 2017) [sssd[be[<a href="http://mydomain.com">mydomain.com</a>]]] [child_sig_handler] (0x0020): child [26795] failed with status [1].<br><br><br><br></div>But few lines above.. I see that I was allowed in by the hbac rule.<br><br><br> (Sun Feb  5 13:57:41 2017) [sssd[be[<a href="http://mydomain.com">mydomain.com</a>]]] [hbac_evaluate] (0x0100): ALLOWED by rule [ipa-alluser-access].<br>(Sun Feb  5 13:57:41 2017) [sssd[be[<a href="http://mydomain.com">mydomain.com</a>]]] [hbac_evaluate] (0x0100): hbac_evaluate() >]<br>(Sun Feb  5 13:57:41 2017) [sssd[be[<a href="http://mydomain.com">mydomain.com</a>]]] [ipa_hbac_evaluate_rules] (0x0080): Access granted by HBAC rule [ipa-alluser-access]<br>(Sun Feb  5 13:57:41 2017) [sssd[be[<a href="http://mydomain.com">mydomain.com</a>]]] [dp_req_done] (0x0400): DP Request [PAM Account #12]: Request handler finished [0]: Success<br>(Sun Feb  5 13:57:41 2017) [sssd[be[<a href="http://mydomain.com">mydomain.com</a>]]] [_dp_req_recv] (0x0400): DP Request [PAM Account #12]: Receiving request data.<br>(Sun Feb  5 13:57:41 2017) [sssd[be[<a href="http://mydomain.com">mydomain.com</a>]]] [dp_req_destructor] (0x0400): DP Request [PAM Account #12]: Request removed.I was allowed in per the HBAC rule<br><br></div><br></div>Not sure whats blocking me.. <br><br><br></div>Thanks<br></div>Rakesh<br><div><div><div><div><div><br></div></div></div></div></div></div>