<div dir="ltr">Thanks again, Lukas!<div><br></div><div>I was wondering if the overlaps of names was a problem, so I redid parts of my IPA setup to rename them - thanks for pointing out the ticket!</div><div><br></div><div>Also, your suggestion to use <span style="font-size:12.8000001907349px">ldap_group_object_class = ipaUserGroup worked - which saves me the trouble of tracking that down in six months when my IPA domain grows and the performance issues associated with enumerate begin to manifest.</span></div><div><span style="font-size:12.8000001907349px"><br></span></div><div><span style="font-size:12.8000001907349px">Many thanks - you are extraordinarily helpful. My colleagues and I are quite grateful for all your advice!</span></div><div><br></div><div>Thanks again,</div><div><br></div><div>Andrew</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 20, 2015 at 1:29 AM, Lukas Slebodnik <span dir="ltr"><<a href="mailto:lslebodn@redhat.com" target="_blank">lslebodn@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On (19/04/15 12:51), Andrew Sacamano wrote:<br>
>Thanks again Lukas,<br>
><br>
>These turned out to be very helpful debugging suggestions, and were the<br>
>critical part of getting the problem solved - the pointer to ldb-tools was<br>
>extremely helpful in identifying where the issue was happening!<br>
><br>
>With them, I was able to see the right sudo rules were being cached, and<br>
>that the change from sudo working to sudo not working happened not because<br>
>of the host, but because of the user, and in particular, the user being a<br>
>listed explicitly, or only as part of a group.  The user's groups were<br>
>being listed in the user's entry in the cache, but not when running the<br>
>"id" command.  Some quick googling, and I discovered that in Ubuntu 14.04,<br>
>the sssd option "enumerate" defaults to false, which meant that the group<br>
>memberships were not taking effect, which meant that sudo rules based on<br>
>membership in a group weren't working. Setting enumerate to true got<br>
>everything working.<br>
><br>
</div></div>If you have a problem with "id" might be caused by<br>
<a href="https://fedorahosted.org/sssd/ticket/2471" target="_blank">https://fedorahosted.org/sssd/ticket/2471</a><br>
<br>
You can fix the bug with ammending configuration.<br>
put ldap_group_object_class = ipaUserGroup<br>
into domain section of sssd.conf<br>
<br>
It should work even with disabled enumeration.<br>
<span class="HOEnZb"><font color="#888888"><br>
LS<br>
</font></span></blockquote></div><br></div>