<div dir="ltr"><div><div>hi<br></div>i have centos 6.7 (ipa server)<br></div><div>and i have centos 6.5 (client)<br></div><div>i can not sudo on client<br></div><div>i add rule sudo on ipa<br></div><div>i config file sss.conf<br>+++++++<br><br>[domain/<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]<br>debug_level = 6<br>#cache_credentials = True<br>#krb5_store_password_if_offline = True<br>ipa_domain = <a href="http://l.infotechpsp.net">l.infotechpsp.net</a><br>id_provider = ipa<br>#auth_provider = ipa<br>#access_provider = ipa<br>#ipa_hostname = <a href="http://switchlive.l.infotechpsp.net">switchlive.l.infotechpsp.net</a><br>#chpass_provider = ipa<br>ipa_server = _srv_, <a href="http://ipasrv.l.infotechpsp.net">ipasrv.l.infotechpsp.net</a><br>ldap_tls_cacert = /etc/ipa/ca.crt<br>sudo_provider = ldap<br>ldap_uri =ldap://<a href="http://ipasrv.l.infotechpsp.net">ipasrv.l.infotechpsp.net</a><br>ldap_sudo_search_base = ou=sudoers,dc=l,dc=infotechpsp,dc=net<br>ldap_sasl_mech = GSSAPI<br>ldap_sasl_authid = host/<a href="http://ussd7rep.l.infotechpsp.net">ussd7rep.l.infotechpsp.net</a><br>ldap_sasl_realm = <a href="http://L.INFOTECHPSP.NET">L.INFOTECHPSP.NET</a><br>krb5_server = <a href="http://ipasrv.l.infotechpsp.net">ipasrv.l.infotechpsp.net</a><br>[sssd]<br>config_file_version = 2<br><br># Number of times services should attempt to reconnect in the<br># event of a crash or restart before they give up<br>reconnection_retries = 3<br><br># If a back end is particularly slow you can raise this timeout here<br>sbus_timeout = 30<br>services = nss, pam, ssh, sudo<br><br>domains = <a href="http://l.infotechpsp.net">l.infotechpsp.net</a><br>[nss]<br><br><br>[pam]<br>+++++++<br></div><div>in file nsswitch.conf<br></div><div>add sudoers: files sss<br><br></div><div>and log file /var/log/sss/sss_l.....<br>+++++<br><br>(Wed Sep 23 12:28:52 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [be_resolve_server_process] (0x0200): Found address for server <a href="http://ipasrv.l.infotechpsp.net">ipasrv.l.infotechpsp.net</a>: [10.30.160.19] TTL 1200<br>(Wed Sep 23 12:28:52 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [set_tgt_child_timeout] (0x0400): Setting 6 seconds timeout for tgt child<br>(Wed Sep 23 12:28:52 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [write_pipe_handler] (0x0400): All data has been sent!<br>(Wed Sep 23 12:28:52 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [read_pipe_handler] (0x0400): EOF received, client finished<br>(Wed Sep 23 12:28:52 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [sdap_get_tgt_recv] (0x0400): Child responded: 0 [FILE:/var/lib/sss/db/<a href="http://ccache_L.INFOTECHPSP.NET">ccache_L.INFOTECHPSP.NET</a>], expired on [1443085132]<br>(Wed Sep 23 12:28:52 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [sdap_cli_auth_step] (0x0100): expire timeout is 900<br>(Wed Sep 23 12:28:52 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [sasl_bind_send] (0x0100): Executing sasl bind mech: GSSAPI, user: host/<a href="http://ussd7rep.l.infotechpsp.net">ussd7rep.l.infotechpsp.net</a><br>(Wed Sep 23 12:28:53 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [child_sig_handler] (0x0100): child [12755] finished successfully.<br>(Wed Sep 23 12:28:53 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [fo_set_port_status] (0x0100): Marking port 389 of server '<a href="http://ipasrv.l.infotechpsp.net">ipasrv.l.infotechpsp.net</a>' as 'working'<br>(Wed Sep 23 12:28:53 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [set_server_common_status] (0x0100): Marking server '<a href="http://ipasrv.l.infotechpsp.net">ipasrv.l.infotechpsp.net</a>' as 'working'<br>(Wed Sep 23 12:28:53 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [sdap_sudo_refresh_connect_done] (0x0400): SUDO LDAP connection successful<br>(Wed Sep 23 12:28:53 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [sdap_sudo_load_sudoers_next_base] (0x0400): Searching for sudo rules with base [ou=sudoers,dc=l,dc=infotechpsp,dc=net]<br>(Wed Sep 23 12:28:53 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [sdap_get_generic_ext_step] (0x0400): calling ldap_search_ext with [(&(&(objectclass=sudoRole)(entryUSN>=128274)(!(entryUSN=128274)))(|(!(sudoHost=*))(sudoHost=ALL)(sudoHost=<a href="http://ussd7rep.l.infotechpsp.net">ussd7rep.l.infotechpsp.net</a>)(sudoHost=ussd7rep)(sudoHost=10.30.110.11)(sudoHost=<a href="http://10.30.110.0/24)(sudoHost=fe80::250:56ff:feaf:3ca6)(sudoHost=fe80::/64)(sudoHost=+*)(|(sudoHost=*\\*)(sudoHost=*?*)(sudoHost=*\**)(sudoHost=*[*]*))))][ou=sudoers,dc=l,dc=infotechpsp,dc=net">10.30.110.0/24)(sudoHost=fe80::250:56ff:feaf:3ca6)(sudoHost=fe80::/64)(sudoHost=+*)(|(sudoHost=*\\*)(sudoHost=*?*)(sudoHost=*\**)(sudoHost=*[*]*))))][ou=sudoers,dc=l,dc=infotechpsp,dc=net</a>].<br>(Wed Sep 23 12:28:53 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [sdap_get_generic_ext_done] (0x0400): Search result: Success(0), no errmsg set<br>(Wed Sep 23 12:28:53 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [sdap_sudo_load_sudoers_process] (0x0400): Receiving sudo rules with base [ou=sudoers,dc=l,dc=infotechpsp,dc=net]<br>(Wed Sep 23 12:28:53 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [sdap_sudo_load_sudoers_done] (0x0400): Received 0 rules<br>(Wed Sep 23 12:28:53 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [sdap_sudo_load_sudoers_done] (0x0400): Sudoers is successfuly stored in cache<br>(Wed Sep 23 12:28:53 2015) [sssd[be[<a href="http://l.infotechpsp.net">l.infotechpsp.net</a>]]] [sdap_sudo_smart_refresh_done] (0x0400): Successful smart refresh of sudo rules<br>+++++<br><br></div><div><br></div></div>