<div dir="ltr">version 3.5.2-1.el6<br><div>using ldap authz; this piece is working OK, and verified OK.</div><div><br></div><div>I use the &quot;Everyone&quot; user to provide default permissions; that includes PowerUserRole for the data center, a bunch of usertemplatebasedVMs, some VnicProfileUser, DiskProfileUser, etc.</div><div><br></div><div>I add a new user in LDAP; and verify LDAP credentials work (ie, log in to another system that uses the same ldap server)<br></div><div>LDAP confirmed working for *other* ovirt users-- not an LDAP issue as far as I can tell.</div><div><br></div><div>I do *not* specifically add each LDAP user to oVirt, they&#39;re added to &quot;groups&quot; in LDAP, so if they have the right group, they should be able to authenticate to oVirt and use the system without me adding each user individually.</div><div><br></div><div>In any case the narrowed down problem is this:</div><div>If the user doesn&#39;t have permissions (UserRole, etc) for *any* VMs, instead of logging in and getting a blank VM list, they get &quot;User is not authorized to perform this action.&quot;</div><div><br></div><div>If I add that specific user to a test placeholder VM, they can log in. Once they have a VM created, I can erase their user-specific permissions to that initial test VM and everything works as expected. They are able to log in, create VMs, etc.</div><div><br></div><div>If I remove all permissions for VMs from a user, they get this error.</div><div><br></div><div>Expected behavior:</div><div>User without any permissions to any VMs should simply get a blank VM list on login. That way they can create a VM and go from there.</div><div><br></div><div>Thanks for any help/suggestions,</div><div>David</div></div>