<div dir="ltr">Hi Pavel,<div><br></div><div>Very interesting, my IPA group membership in ad_admins isn't shown by that command on first run (new login)</div><div><br></div><div><div>sdainard-admin@miovision.corp@ubu1310:~$ id sdainard-admin</div>
<div>uid=799002462(sdainard-admin@miovision.corp) gid=799002462(sdainard-admin@miovision.corp) groups=799002462(sdainard-admin@miovision.corp),799001380(accounting-share-access@miovision.corp),799001417(protected-share-access@miovision.corp),799000519(enterprise admins@miovision.corp),799001416(hr-share-access@miovision.corp),799000512(domain admins@miovision.corp),799000513(domain users@miovision.corp),799002464(it - admins@miovision.corp),799002469(kloperators@miovision.corp),799002468(kladmins@miovision.corp)</div>
<div><br></div><div>sdainard-admin@miovision.corp@ubu1310:~$ sudo su</div><div>[sudo] password for sdainard-admin@miovision.corp: </div><div>sdainard-admin@miovision.corp is not allowed to run sudo on ubu1310.  This incident will be reported.</div>
<div><br></div><div>But after attempting the sudo command my groups do contain the IPA groups admins,ad_admins:</div><div><br></div><div>sdainard-admin@miovision.corp@ubu1310:~$ id sdainard-admin</div><div>uid=799002462(sdainard-admin@miovision.corp) gid=799002462(sdainard-admin@miovision.corp) groups=799002462(sdainard-admin@miovision.corp),799001380(accounting-share-access@miovision.corp),799001417(protected-share-access@miovision.corp),799000519(enterprise admins@miovision.corp),799001416(hr-share-access@miovision.corp),799000512(domain admins@miovision.corp),799000513(domain users@miovision.corp),799002464(it - admins@miovision.corp),799002469(kloperators@miovision.corp),799002468(kladmins@miovision.corp),<b>1768200000(admins),1768200004(ad_admins)</b></div>
<div><div><br></div><div>sdainard-admin@miovision.corp@ubu1310:~$ sudo su</div><div>[sudo] password for sdainard-admin@miovision.corp: </div><div>root@ubu1310:/home/miovision.corp/sdainard-admin# </div></div><div><br></div>
<div><br></div><div>Sudo rule (I had to create this, apparently its a default rule, but didn't exist in my install on RHEL7 beta):</div><div><div><div>  Rule name: All</div><div>  Enabled: TRUE</div><div>  Host category: all</div>
<div>  Command category: all</div><div>  RunAs User category: all</div><div>  RunAs Group category: all</div><div>  User Groups: ad_admins</div></div><div><br></div><div>I saw the new dns update option (and refresh timers!), thanks.</div>
</div></div></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><span style="font-family:arial,sans-serif;font-size:16px"><strong>Steve Dainard </strong></span><span style="font-size:12px"></span><br>
<span style="font-family:arial,sans-serif;font-size:12px">IT Infrastructure Manager<br>
<a href="http://miovision.com/" target="_blank">Miovision</a> | <em>Rethink Traffic</em><br><br>
<strong style="font-family:arial,sans-serif;font-size:13px;color:#999999"><a href="http://miovision.com/blog" target="_blank">Blog</a>  |  </strong><font color="#999999" style="font-family:arial,sans-serif;font-size:13px"><strong><a href="https://www.linkedin.com/company/miovision-technologies" target="_blank">LinkedIn</a>  |  <a href="https://twitter.com/miovision" target="_blank">Twitter</a>  |  <a href="https://www.facebook.com/miovision" target="_blank">Facebook</a></strong></font> </span>
<hr style="font-family:arial,sans-serif;font-size:13px;color:#333333;clear:both">
<div style="color:#999999;font-family:arial,sans-serif;font-size:13px;padding-top:5px">
        <span style="font-family:arial,sans-serif;font-size:12px">Miovision Technologies Inc. | 148 Manitou Drive, Suite 101, Kitchener, ON, Canada | N2C 1L3</span><br>
        <span style="font-family:arial,sans-serif;font-size:12px">This e-mail may contain information that is privileged or confidential. If you are not the intended recipient, please delete the e-mail and any attachments and notify us immediately.</span></div>
</div></div>
<br><br><div class="gmail_quote">On Tue, Feb 18, 2014 at 5:27 AM, Pavel Březina <span dir="ltr"><<a href="mailto:pbrezina@redhat.com" target="_blank">pbrezina@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="">On 02/17/2014 10:29 PM, Steve Dainard wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I can't reproduce consistently on any OS including Fedora 20, but I was<br>
able to trigger the issue on a Ubuntu 13.10 client.<br>
<br>
sssd: 1.11.1<br>
<br>
sudo: 1.8.6p3-0ubuntu3<br>
<br>
I have only just enabled the sudo logging so it should only contain the<br>
events below:<br>
<br>
sdainard-admin@miovision.corp@<u></u>ubu1310:~$ sudo su<br>
[sudo] password for sdainard-admin@miovision.corp:<br>
sdainard-admin@miovision.corp is not allowed to run sudo on ubu1310.<br>
  This incident will be reported.<br>
sdainard-admin@miovision.corp@<u></u>ubu1310:~$ sudo su<br>
[sudo] password for sdainard-admin@miovision.corp:<br>
root@ubu1310:/home/miovision.<u></u>corp/sdainard-admin#<br>
<br>
Files attached outside of list.<br>
</blockquote>
<br></div>
Hi,<br>
thank you for the logs. Can you also send me output of command "id sdainard-admin" (also check if group membership is correct) and definition of the sudo rule please?<br>
<br>
Also you may want to fix the following (unrelated) warning:<br>
Deprecation warning: The option ipa_dyndns_update is deprecated and should not be used in favor of dyndns_update<br>
<br>
</blockquote></div><br></div>