<div dir="ltr">List more than 1 LDAP sever in you config then. <br><div><br><p>ldap_uri, ldap_backup_uri (string)
</p><dl compact><dd>Specifies the comma-separated list of URIs of the LDAP servers to 
which SSSD should connect in the order of preference. Refer to the 
"FAILOVER" section for
more information on failover and server redundancy. If neither option is
 specified, service discovery is enabled. For more information, refer to
 the "SERVICE
DISCOVERY" section.
<p>The format of the URI must match the format defined in RFC 2732:
</p><p>ldap[s]://<host>[:port]
</p><p>For explicit IPv6 addresses, <host> must be enclosed in brackets []
</p><p>example: ldap://[fc00::126:25]:389
</p></dd></dl><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Nov 24, 2014 at 8:38 PM, William Muriithi <span dir="ltr"><<a href="mailto:william.muriithi@gmail.com" target="_blank">william.muriithi@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">  <div><div>Evening, </div><div><br></div><div>After looking at almost all the SUDO documentation I could find, it looks one has to hardcode FreeIPA hostname on sssd.conf file. Below is what red hat advice to add in sssd config file.</div><div><span style="font-family:Calibri,'Slate Pro',sans-serif"><br></span></div><div><span style="font-family:Calibri,'Slate Pro',sans-serif">‎services = nss, pam, ssh, pac, sudo [domain/<a href="http://idm.coe.muc.redhat.com" target="_blank">idm.coe.muc.redhat.com</a>] sudo_provider = ldap ldap_uri = ldap://<a href="http://grobi.idm.coe.muc.redhat.com" target="_blank">grobi.idm.coe.muc.redhat.com</a> ldap_sudo_search_base = ou=sudoers,dc=idm,dc=coe,dc=muc,dc=redhat,dc=com ldap_sasl_mech = GSSAPI ldap_sasl_authid = host/<a href="http://tiffy.idm.coe.muc.redhat.com" target="_blank">tiffy.idm.coe.muc.redhat.com</a> ldap_sasl_realm = <a href="http://IDM.COE.MUC.REDHAT.COM" target="_blank">IDM.COE.MUC.REDHAT.COM</a> krb5_server = <a href="http://grobi.idm.coe.muc.redhat.com" target="_blank">grobi.idm.coe.muc.redhat.com</a></span></div><div><span style="font-family:Calibri,'Slate Pro',sans-serif"><br></span></div><div><span style="font-family:Calibri,'Slate Pro',sans-serif">The implications ‎of adding above is that SUDO would break if the hardcoded ipa is not available even if there is another replica somewhere in the network. Is that correct assumption? </span></div><div><span style="font-family:Calibri,'Slate Pro',sans-serif"><br></span></div><div><span style="font-family:Calibri,'Slate Pro',sans-serif">Is there a better way of doing it that I have missed?</span></div><div><span style="font-family:Calibri,'Slate Pro',sans-serif"><br></span></div><div><span style="font-family:Calibri,'Slate Pro',sans-serif">Thanks</span></div><span class="HOEnZb"><font color="#888888"><div><span style="font-family:Calibri,'Slate Pro',sans-serif"><br></span></div><div><span style="font-family:Calibri,'Slate Pro',sans-serif">William</span></div><div><br></div><div></div></font></span></div>

<br>--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br></blockquote></div><br></div>