<div dir="ltr"><div><div>Well, I figured it out...<br><br></div>"bindpwd"<br><br></div>D'oh! 3 days troubleshooting a typo :P<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, May 20, 2013 at 4:19 PM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Mon, May 20, 2013 at 03:58:11PM -0400, Dmitri Pal wrote:<br>
> On 05/20/2013 12:33 PM, Duncan R. Green wrote:<br>
> > I ask upon thee, oh great ipa gurus...<br>
> ><br>
> > I've got ipa set up with sudo, and have it successfully working on<br>
> > several hosts.<br>
> ><br>
> > On one particular host, though, I'm having issues.<br>
> ><br>
> > SSSD seems to be working fine -- can ssh in as a user, can kinit, etc.<br>
> ><br>
> > However, when I try to use sudo, I immediately get<br>
> ><br>
> > ldap_sasl_bind_s(): Server is unwilling to perform<br>
> ><br>
> > and in /var/log/secure, I see<br>
> ><br>
> > May 20 17:20:07 SERVERNAME sudo: pam_unix(sudo:auth): authentication<br>
> > failure; logname=username uid=0 euid=0 tty=/dev/pts/0 ruser = rhost =<br>
> > user=username<br>
> ><br>
> > May 20 17:20:07 SERVERNAME sudo: pam_sss(sudo:auth): authentication<br>
> > success; logname=username uid=0 euid=0 tty=/dev/pts/0 ruser = rhost =<br>
> > user=username<br>
> ><br>
> > May 20 17:20:07 SERVERNAME sudo: username : user NOT in sudoers ;<br>
> > TTY=pts/0 ; PWD=/home/username ; USER=root ; COMMAND=/bin/vi /etc/rc.local<br>
> ><br>
> > ...any advice?<br>
> ><br>
> ><br>
> > _______________________________________________<br>
> > Freeipa-users mailing list<br>
> > <a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
> > <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
><br>
> Please turn on sudo debug and provide the debug output.<br>
> Also please look at the server side access logs, they might shed some<br>
> light on why the server is unwilling to perform.<br>
> What OS the client is? It might have an LDAP library that is out of date<br>
> or provides some control that server does not like or understands.<br>
> Also the authentication of the sudo connection might be not properly<br>
> configured.<br>
><br>
> Generally there is not enough info to give you more guidance, sorry.<br>
<br>
</div></div>Yes, I believe the server logs would be the best in this case. Unwilling<br>
to perform sounds like the client requested an operation the server<br>
couldn't complete.<br>
<div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
</div></div></blockquote></div><br></div>