<div dir="ltr">Thanks for your responses, your points seem quite valid. I may have been blinded by my specific scenario (actual client machines / users rather than only backend). Also that I'm dealing with Ubuntu clients just makes the process a bit more frustrating (client sssd project isn't quite as stable as Fedora/EL - but I realize its a one-man show).<div>
<br></div><div>All your hard work is much appreciated, and I think this is an awesome project that has long been needed.</div><div><br></div><div>Unfortunately the only time I can dedicate is in testing as I await the RHEL 7 release.</div>
</div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><span style="font-family:arial,sans-serif;font-size:16px"><strong>Steve Dainard </strong></span><span style="font-size:12px"></span><br>
<span style="font-family:arial,sans-serif;font-size:12px">IT Infrastructure Manager<br>
<a href="http://miovision.com/" target="_blank">Miovision</a> | <em>Rethink Traffic</em><br><br>
<strong style="font-family:arial,sans-serif;font-size:13px;color:#999999"><a href="http://miovision.com/blog" target="_blank">Blog</a>  |  </strong><font color="#999999" style="font-family:arial,sans-serif;font-size:13px"><strong><a href="https://www.linkedin.com/company/miovision-technologies" target="_blank">LinkedIn</a>  |  <a href="https://twitter.com/miovision" target="_blank">Twitter</a>  |  <a href="https://www.facebook.com/miovision" target="_blank">Facebook</a></strong></font> </span>
<hr style="font-family:arial,sans-serif;font-size:13px;color:#333333;clear:both">
<div style="color:#999999;font-family:arial,sans-serif;font-size:13px;padding-top:5px">
        <span style="font-family:arial,sans-serif;font-size:12px">Miovision Technologies Inc. | 148 Manitou Drive, Suite 101, Kitchener, ON, Canada | N2C 1L3</span><br>
        <span style="font-family:arial,sans-serif;font-size:12px">This e-mail may contain information that is privileged or confidential. If you are not the intended recipient, please delete the e-mail and any attachments and notify us immediately.</span></div>
</div></div>
<br><br><div class="gmail_quote">On Fri, Feb 14, 2014 at 2:36 AM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="">On Thu, 13 Feb 2014, Steve Dainard wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I don't think this is an issue of bugs or documentation, more of design.<br>
Perhaps there's someplace other than a users list this belongs in but:<br>
<br>
If IPA is a centrally managed identity and access control system, should<br>
these configurations not be passed to clients, rather than every client<br>
needing configuration changes post join? Obviously I can automate config<br>
changes, but why would I want to? I don't think sudoers priv is a fringe<br>
case, its pretty much THE case for access/admin control. I cringe to<br>
compare to a Windows domain, but I don't have to manually tell a domain<br>
client that it should respect the rules I set on a domain controller, I<br>
joined it to the domain for this reason.<br>
</blockquote></div>
When majority of expected features are already implemented, it is easy<br>
to fall into assumption that everything has to be complete from start.<br>
That's understandable but we are dealing with a living and evolving<br>
project where a feature addition often means integrating across multiple<br>
actual free software projects, all with their own priorities and<br>
schedules, step by step, or things will never happen.<br>
<br>
SUDO integration is not an exception here. First we needed to expand<br>
SUDO's support for external plugins. When SUDO data was placed in LDAP,<br>
it appeared that existing schema isn't really optimal, so FreeIPA schema<br>
was designed better (but incompatible with existing one from SUDO LDAP),<br>
but required a compatibility part to work with existing SUDO LDAP<br>
plugin. Next, we implemented SUDO provider in SSSD for the existing SUDO<br>
LDAP schema as it gave SSSD wider coverage of SUDO support. Now we<br>
implemented support for native FreeIPA schema. The next step is to<br>
integrate configuration of it in ipa-client-install so that clients will<br>
get set up properly if there are SUDO rules configured on the server or<br>
ipa-client-install was actually given a bless from the admin (via CLI<br>
option or answering a question).<br>
<br>
It takes time and effort. Unsurprisingly, this is a relatively minor<br>
feature in the grand picture because we have dozens of such features all<br>
asking for attention and time, and our development teams are not<br>
expanding infinitely regardless how we all wished. :)<br>
<br>
Any help is welcome!<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>