<div dir="ltr"><div><div><div><div>Package: sssd<br>Version: 1.8.4-2<br>Severity: important<br><br>Dear Maintainer,<br><br></div>We have a working setup with sssd and ldap-krb5 domain working (A kind of SSO). Sssd gets users, groups and sudo via kerberos from ldap. The setup is working just fine on centos and debian8, but not on debian wheezy.<br></div>What is expected: user from ldap is able to login via ssh to a debian 7 machine, after this, he's able to use sudo if he is allowed to (via ldap or locally)<br></div>What happens: the user logins to the machine, he's allowed to 'sudo -s' in ldap, but he it's able to do that.<br><br></div>Here is what the sssd-log says:<br><br><div><div><div><div>(Tue Nov 17 13:31:09 2015) [sssd[nss]] [nss_cmd_initgroups_search] (0x0040): User [root] does not exist in [<a href="http://RNET.RU">RNET.RU</a>]! (negative cache)<br>(Tue Nov 17 13:31:09 2015) [sssd[nss]] [nss_cmd_initgroups_search] (0x0040): No matching domain found for [root], fail!<br><br></div><div>Here is the nsswitch.conf:<br>passwd:         compat sss<br>group:          compat sss<br>shadow:         compat sss<br>gshadow:        files<br><br>hosts:          files dns<br>networks:       files<br><br>protocols:      db files<br>services:       db files sss<br>ethers:         db files<br>rpc:            db files<br><br>netgroup:       nis sss<br>sudoers:        sss files<br><br></div><div>And here is the sssd config file:<br><br></div><div>[domain/<a href="http://RNET.RU">RNET.RU</a>]<br><br>autofs_provider = ldap<br>cache_credentials = false<br>ldap_search_base = dc=rnet,dc=ru<br>krb5_realm = <a href="http://RNET.RU">RNET.RU</a><br>krb5_server = <a href="http://kdc1.rnet.ru">kdc1.rnet.ru</a><br>id_provider = ldap<br>auth_provider = krb5<br>chpass_provider = krb5<br>ldap_uri = ldaps://<a href="http://kdc1.rnet.ru">kdc1.rnet.ru</a>, ldaps://<a href="http://kdc2.rnet.ru">kdc2.rnet.ru</a><br>krb5_kpasswd = <a href="http://kdc1.rnet.ru">kdc1.rnet.ru</a><br>ldap_id_use_start_tls = true<br>krb5_renew_interval=10s<br>ldap_sasl_mech = GSSAPI<br>ldap_tls_cacert = /etc/ssl/<a href="http://rnet.ru/STAR_rnet_ru.ca-bundle">rnet.ru/STAR_rnet_ru.ca-bundle</a><br>access_provider = simple<br><br>[sssd]<br>config_file_version = 2<br>services = nss, pam, sudo<br>domains = <a href="http://RNET.RU">RNET.RU</a><br><br>[nss]<br>filter_users = root<br>filter_groups = root<br><br><br>[pam]<br><br>[sudo]<br>sudo_provider = ldap<br>ldap_sudo_search_base = ou=sudoers,dc=rnet,dc=ru<br><br></div><div>Just the same configuration works everywhere else, but not on debian 7. Both x86_64 and 32-bit are affected.<br><div style="" id="stcpDiv">Thank you in advance for any help you can provide</div><br></div><div>Best regards, Petr Zaytsev<br></div><div><br>-- System Information:<br>Debian Release: 7.9<br>  APT prefers oldstable-updates<br>  APT policy: (500, 'oldstable-updates'), (500, 'oldstable')<br>Architecture: i386 (i686)<br><br>Kernel: Linux 3.2.0-4-686-pae (SMP w/1 CPU core)<br>Locale: LANG=en_US.UTF-8, LC_CTYPE=en_US.UTF-8 (charmap=UTF-8)<br>Shell: /bin/sh linked to /bin/dash<br><br>Versions of packages sssd depends on:<br>ii  libc-ares2         1.9.1-3<br>ii  libc6              2.13-38+deb7u8<br>ii  libcollection2     0.1.3-2<br>ii  libcomerr2         1.42.5-1.1+deb7u1<br>ii  libdbus-1-3        1.6.8-1+deb7u6<br>ii  libdhash1          0.1.3-2<br>ii  libini-config2     0.1.3-2<br>ii  libipa-hbac0       1.8.4-2<br>ii  libk5crypto3       1.10.1+dfsg-5+deb7u4<br>ii  libkeyutils1       1.5.5-3+deb7u1<br>ii  libkrb5-3          1.10.1+dfsg-5+deb7u4<br>ii  libldap-2.4-2      2.4.31-2+deb7u1<br>ii  libldb1            1:1.1.6-1<br>ii  libnl1             1.1-7<br>ii  libnspr4           2:4.9.2-1+deb7u2<br>ii  libnss3            2:3.14.5-1+deb7u5<br>ii  libpam0g           1.1.3-7.1<br>ii  libpcre3           1:8.30-5<br>ii  libpopt0           1.16-7<br>ii  libtalloc2         2.0.7+git20120207-1<br>ii  libtdb1            1.2.10-2<br>ii  libtevent0         0.9.16-1<br>ii  libunistring0      0.9.3-5<br>ii  multiarch-support  2.13-38+deb7u8<br>ii  python             2.7.3-4+deb7u1<br>ii  python-sss         1.8.4-2<br><br>Versions of packages sssd recommends:<br>ii  bind9-host                   1:9.8.4.dfsg.P1-6+nmu2+deb7u7<br>ii  ldap-utils                   2.4.31-2+deb7u1<br>ii  libnss-sss                   1.8.4-2<br>ii  libpam-sss                   1.8.4-2<br>ii  libsasl2-modules-gssapi-mit  2.1.25.dfsg1-6+deb7u1<br>ii  libsasl2-modules-ldap        2.1.25.dfsg1-6+deb7u1<br>Versions of packages sssd suggests:<br>pn  apparmor    <none><br>pn  sssd-tools  <none><br><br>-- no debconf information<br><br></div></div></div></div></div>