<div dir="ltr">I rebooted one of the servers and it worked!<div style>Thanks a lot</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Jun 12, 2013 at 6:29 PM, Sina Owolabi <span dir="ltr"><<a href="mailto:shinacalypse@gmail.com" target="_blank">shinacalypse@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>Thank you for the reply Alex, though I'm a little confused that I am answering the correct email.<br>
</div>I have taken a look at the example sssd.conf you advised, and I'm a little curious if the configuration supports having multiple IPA servers? I have a multi-master setup with two servers. I tried to add both servers to the ldap uri and to the krb5 section byt the service refused to start.<br>

</div>Also I have to note that this not being able to sudo only seems to affect physical servers, and not the virtual machines I have applied it against.<br></div>Also unfortunately, this didnt work either.. I guess I will try a reboot first if I can.<br>

<br></div>sudo debug:<br><br>[root@waphost IPA-configs]# su - oowolabi<div><div class="h5"><br>[oowolabi@waphost ~]$ sudo service httpd status<br>sudo: ldap_set_option: debug -> 0<br>sudo: ldap_set_option: tls_checkpeer -> 1<br>
sudo: ldap_set_option: tls_cacertfile -> /etc/ipa/ca.crt<br>
sudo: ldap_set_option: tls_cacert -> /etc/ipa/ca.crt<br>sudo: ldap_set_option: ldap_version -> 3<br>sudo: ldap_set_option: timelimit -> 15<br>sudo: ldap_set_option(LDAP_OPT_NETWORK_TIMEOUT, 5)<br>sudo: ldap_start_tls_s() ok<br>

sudo: ldap_sasl_bind_s() ok<br>sudo: Looking for cn=defaults: cn=defaults<br>sudo: no default options found in ou=SUDOers,dc=qrios,dc=com<br>sudo: ldap search '(|(sudoUser=oowolabi)(sudoUser=%oowolabi)(sudoUser=%#721800009)(sudoUser=%admins)(sudoUser=%employees)(sudoUser=%qrios)(sudoUser=%#721800000)(sudoUser=%#721800006)(sudoUser=%#721800008)(sudoUser=ALL))'<br>

sudo: searching from base 'ou=SUDOers,dc=qrios,dc=com'<br>sudo: adding search result<br>sudo: result now has 0 entries<br>sudo: ldap search '(sudoUser=+*)'<br>sudo: searching from base 'ou=SUDOers,dc=qrios,dc=com'<br>

sudo: adding search result<br>sudo: result now has 0 entries<br>sudo: sorting remaining 0 entries<br>sudo: searching LDAP for sudoers entries<br>sudo: done with LDAP searches<br>sudo: user_matches=1<br>sudo: host_matches=0<br>

sudo: sudo_ldap_lookup(0)=0x40<br>[sudo] password for oowolabi: <br>oowolabi is not allowed to run sudo on waphost.  This incident will be reported.<br></div></div>[oowolabi@waphost ~]$ exit<br><br></div><div class="gmail_extra">
<div><div class="h5"><br>
<br><div class="gmail_quote">On Wed, Jun 12, 2013 at 10:10 AM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>On Wed, 12 Jun 2013, Matt . wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi,<br>
<br>
A lot of people seem to have problem with Sudo and FreeIPA.<br>
<br>
How to enable sudo is described here:<br>
<br>
<a href="http://www.freeipa.org/images/7/77/Freeipa30_SSSD_SUDO_Integration.pdf" target="_blank">http://www.freeipa.org/images/<u></u>7/77/Freeipa30_SSSD_SUDO_<u></u>Integration.pdf</a><br>
<br>
The problem we are facing, also discussed on IRC is that there is looked in<br>
the local sudoers file of the client if the loggedin user may sudo. Of<br>
course the username is not known there.<br>
</blockquote></div>
Not sure what exactly is your problem? Could you please rephrase and<br>
show it with logs again?<br>
<br>
If you are using SSSD's sudo integration against IPA server, then here<br>
is what you need to get it working on Fedora 18/19 and RHEL 6.4:<br>
<br>
1. install libsss_sudo package<br>
<br>
2. Add/change following line to /etc/nsswitch.conf<br>
<br>
sudoers: files sss<br>
<br>
3. Make sure your /etc/sssd/sssd.conf looks like this example:<br>
<a href="http://abbra.fedorapeople.org/.paste/sssd.conf.example" target="_blank">http://abbra.fedorapeople.org/<u></u>.paste/sssd.conf.example</a> <br>
4. Restart sssd<br>
<br>
These are the only actions I needed to get sudo working for IPA users on<br>
Fedora 19 and RHEL 6.4.<br>
<br>
Please note that    sudoers: files sss<br>
gives you chance to have local users configured in local sudoers. If you<br>
don't want them to be able to use sudo, just change the line in<br>
/etc/nsswitch.conf to<br>
   sudoers: sss<span><font color="#888888"><br>
<br>
<br>
-- <br>
/ Alexander Bokovoy</font></span><div><div><br>
<br>
______________________________<u></u>_________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com" target="_blank">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/<u></u>mailman/listinfo/freeipa-users</a><br>
</div></div></blockquote></div><br><br clear="all"><br></div></div><div class="im">-- <br>best regards,<br><br>Sina Owolabi<br>+2348034022578<br>+2348176469061
</div></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>best regards,<br><br>Sina Owolabi<br>+2348034022578<br>+2348176469061
</div>