<div dir="ltr">Yes, you would expect that to help, wouldn't you :-)<div><br></div><div>Didn't even know this existed. Thanks for that.</div><div><br></div><div>User has 3 sudo rules. I have set the allow_all rule to 1, the second rule to 2 and the cobbler (with the "!authenticate" option) rule to 99:</div>

<div><br></div><div><div>User ******** may run the following commands on this host:</div><div>    (root) ALL</div><div>    (root) /bin/cat, /bin/egrep, /bin/find, /bin/grep, /bin/ls, /bin/more, /usr/bin/less, !/bin/su</div>

<div>    (root) NOPASSWD: /usr/bin/cobbler</div><div>    (root) !/bin/su</div></div><div><br></div><div>Nope. Didn't help.</div><div class="gmail_extra"><br clear="all"><div><div>Fred</div></div><br><div class="gmail_quote">

On Fri, Jan 10, 2014 at 3:59 PM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div><div>On 01/10/2014 11:52 AM, Fred van Zwieten wrote:<br>
> Hi,<br>
><br>
> I have a sudo rule in IPA that has the !authenticate option added to enable<br>
> admins to execute certain programs as root without authentication.<br>
><br>
> It doesn't work. There is another rule for the admins that allow all<br>
> commands as long as they give their password.<br>
><br>
> In a sudoers file, you can solve this by specifing the nopasswd rule as<br>
> last.<br>
><br>
> sudo -l from an IPA-client gives me this:<br>
><br>
> *******@svr001 ~]$ sudo -l<br>
> Matching Defaults entries for ******* on this host:<br>
>     requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS<br>
>     DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1<br>
>     PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE<br>
>     LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY<br>
>     LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL<br>
>     LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",<br>
>     secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin<br>
><br>
> User ******** may run the following commands on this host:<br>
>     (root) NOPASSWD: ALL<br>
>     (root) /bin/cat, /bin/egrep, /bin/find, /bin/grep, /bin/ls, /bin/more,<br>
>     /usr/bin/less, !/bin/su<br>
>     (root) NOPASSWD: /usr/bin/cobbler<br>
>     (root) !/bin/su<br>
><br>
> I want the cobbler command to run without password authentication. What am<br>
> I doing wrong?<br>
><br>
<br>
</div></div>Would setting SUDO rule order help?<br>
<br>
# ipa sudorule-mod -h<br>
...<br>
  --order=INT           integer to order the Sudo rules<br>
...<br>
<span><font color="#888888"><br>
Martin<br>
<br>
</font></span></blockquote></div><br></div></div>