<div dir="ltr"><div><div><div><div><div>Dear freeIPA gurus,<br></div>in previous thread (<a href="https://www.redhat.com/archives/freeipa-users/2016-July/msg00046.html" target="_blank">https://www.redhat.com/archives/freeipa-users/2016-July/msg00046.html</a>) you helped me make sudo working for AD users on Centos 7.0 (<a href="http://spcss-2t-www.linuxdomain.cz" target="_blank">spcss-2t-www.linuxdomain.cz</a>).<br></div>It was caused by not knowing sudo needs to be enabled in HBAC rules.<br></div>Now it works properly on Centos 7.0 client. <br></div>But it does not work on Centos 6.5 (<a href="http://zp-cml-test.linuxdomain.cz" target="_blank">zp-cml-test.linuxdomain.cz</a>) with the same sssd.conf setup.<br></div>Error message is always:<br><br><div><div><div><div>[simecek.tomas@sd-stc.cz@zp-cml-test ~]$ sudo cat /etc/nsswitch.conf<br>[sudo] password for <a href="mailto:simecek.tomas@sd-stc.cz" target="_blank">simecek.tomas@sd-stc.cz</a>: <br><a href="mailto:simecek.tomas@sd-stc.cz" target="_blank">simecek.tomas@sd-stc.cz</a> is not allowed to run sudo on zp-cml-test.  This incident will be reported.<br><br></div><div>Here are my HBAC rules, the second one should apply. It definitely applies for Centos 7.0 server:<br>[root@svlxxipap ~]# ipa hbacrule-find<br>--------------------<br>2 HBAC rules matched<br>--------------------<br>  Rule name: allow_all<br>  User category: all<br>  Host category: all<br>  Service category: all<br>  Description: Allow all users to access any host from any host<br>  Enabled: FALSE<br><br>  Rule name: Unixari na test servery<br>  Enabled: TRUE<br>  User Groups: grpunixadmins<br>  Hosts: <a href="http://spcss-2t-www.linuxdomain.cz" target="_blank">spcss-2t-www.linuxdomain.cz</a>, <a href="http://zp-cml-test.linuxdomain.cz" target="_blank">zp-cml-test.linuxdomain.cz</a><br>  Services: login, sshd, sudo, sudo-i, su, su-l<br>----------------------------<br>Number of entries returned 2<br>----------------------------<br><br></div><div>This is my /etc/sssd/sssd.conf. It the same like on Centos 7.0 server, just with proper server name of course:<br><br>[root@zp-cml-test sssd]# cat /etc/sssd/sssd.conf <br>[domain/<a href="http://linuxdomain.cz" target="_blank">linuxdomain.cz</a>]<br>cache_credentials = True<br>krb5_store_password_if_offline = True<br>ipa_domain = <a href="http://linuxdomain.cz" target="_blank">linuxdomain.cz</a><br>id_provider = ipa<br>krb5_realm = <a href="http://LINUXDOMAIN.CZ" target="_blank">LINUXDOMAIN.CZ</a><br>auth_provider = ipa<br>access_provider = ipa<br>ipa_hostname = <a href="http://zp-cml-test.linuxdomain.cz" target="_blank">zp-cml-test.linuxdomain.cz</a><br>chpass_provider = ipa<br>ipa_server = <a href="http://svlxxipap.linuxdomain.cz" target="_blank">svlxxipap.linuxdomain.cz</a><br>ldap_tls_cacert = /etc/ipa/ca.crt<br>override_shell = /bin/bash<br>sudo_provider = ldap<br>ldap_uri = ldap://<a href="http://svlxxipap.linuxdomain.cz" target="_blank">svlxxipap.linuxdomain.cz</a><br>ldap_sudo_search_base = ou=sudoers,dc=linuxdomain,dc=cz<br>ldap_sasl_mech = GSSAPI<br>#ldap_sasl_authid = host/<a href="mailto:zp-cml-test.linuxdomain.cz@LINUXDOMAIN.CZ" target="_blank">zp-cml-test.linuxdomain.cz@LINUXDOMAIN.CZ</a><br>ldap_sasl_authid = host/<a href="http://zp-cml-test.linuxdomain.cz" target="_blank">zp-cml-test.linuxdomain.cz</a><br>ldap_sasl_realm = <a href="http://LINUXDOMAIN.CZ" target="_blank">LINUXDOMAIN.CZ</a><br>krb5_server = <a href="http://svlxxipap.linuxdomain.cz" target="_blank">svlxxipap.linuxdomain.cz</a><br><br>[sssd]<br>services = nss, sudo, pam, ssh<br>config_file_version = 2<br>debug_level = 0x3ff0<br>domains = <a href="http://linuxdomain.cz" target="_blank">linuxdomain.cz</a><br>[nss]<br>homedir_substring = /home<br><br>[pam]<br>[sudo]<br>debug_level = 0x3ff0<br>[autofs]<br>[ssh]<br>[pac]<br>[ifp]<br><br></div><div>This is output from sssd_sudo.log:<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [accept_fd_handler] (0x0400): Client connected!<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sss_cmd_get_version] (0x0200): Received client version [1].<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sss_cmd_get_version] (0x0200): Offered version [1].<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_cmd] (0x2000): Using protocol version [1]<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sss_parse_name_for_domains] (0x0200): name '<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>' matched expression for domain '<a href="http://sd-stc.cz">sd-stc.cz</a>', user is simecek.tomas<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sss_parse_name_for_domains] (0x0200): name '<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>' matched expression for domain '<a href="http://sd-stc.cz">sd-stc.cz</a>', user is simecek.tomas<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_cmd_parse_query_done] (0x0200): Requesting default options for [simecek.tomas] from [<a href="http://sd-stc.cz">sd-stc.cz</a>]<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_get_user] (0x0200): Requesting info about [<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>]<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_get_user] (0x0400): Returning info for user [<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>]<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_get_rules] (0x0400): Retrieving default options for [<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>] from [<a href="http://sd-stc.cz">sd-stc.cz</a>]<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sysdb_search_group_by_gid] (0x0400): No such entry<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_get_sudorules_query_cache] (0x0200): Searching sysdb with [(&(objectClass=sudoRule)(|(sudoUser=ALL)(name=defaults)(sudoUser=<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>)(sudoUser=#988604700)(sudoUser=%domain <a href="mailto:users@sd-stc.cz">users@sd-stc.cz</a>)(sudoUser=%<a href="mailto:unixadmins@sd-stc.cz">unixadmins@sd-stc.cz</a>)(sudoUser=%<a href="mailto:mfcr_mfg@sd-stc.cz">mfcr_mfg@sd-stc.cz</a>)(sudoUser=%<a href="mailto:account@sd-stc.cz">account@sd-stc.cz</a>)(sudoUser=%<a href="mailto:wifi@sd-stc.cz">wifi@sd-stc.cz</a>)(sudoUser=%grpunixadmins)(sudoUser=+*))(&(dataExpireTimestamp<=1468393118)))]<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_get_rules] (0x2000): About to get sudo rules from cache<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_get_sudorules_query_cache] (0x0200): Searching sysdb with [(&(objectClass=sudoRule)(|(name=defaults)))]<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_get_sudorules_from_cache] (0x0400): Returning 0 rules for [<default options>@<a href="http://sd-stc.cz">sd-stc.cz</a>]<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_cmd] (0x2000): Using protocol version [1]<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sss_parse_name_for_domains] (0x0200): name '<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>' matched expression for domain '<a href="http://sd-stc.cz">sd-stc.cz</a>', user is simecek.tomas<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sss_parse_name_for_domains] (0x0200): name '<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>' matched expression for domain '<a href="http://sd-stc.cz">sd-stc.cz</a>', user is simecek.tomas<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_cmd_parse_query_done] (0x0200): Requesting rules for [simecek.tomas] from [<a href="http://sd-stc.cz">sd-stc.cz</a>]<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_get_user] (0x0200): Requesting info about [<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>]<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_get_user] (0x0400): Returning info for user [<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>]<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_get_rules] (0x0400): Retrieving rules for [<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>] from [<a href="http://sd-stc.cz">sd-stc.cz</a>]<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sysdb_search_group_by_gid] (0x0400): No such entry<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_get_sudorules_query_cache] (0x0200): Searching sysdb with [(&(objectClass=sudoRule)(|(sudoUser=ALL)(name=defaults)(sudoUser=<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>)(sudoUser=#988604700)(sudoUser=%domain <a href="mailto:users@sd-stc.cz">users@sd-stc.cz</a>)(sudoUser=%<a href="mailto:unixadmins@sd-stc.cz">unixadmins@sd-stc.cz</a>)(sudoUser=%<a href="mailto:mfcr_mfg@sd-stc.cz">mfcr_mfg@sd-stc.cz</a>)(sudoUser=%<a href="mailto:account@sd-stc.cz">account@sd-stc.cz</a>)(sudoUser=%<a href="mailto:wifi@sd-stc.cz">wifi@sd-stc.cz</a>)(sudoUser=%grpunixadmins)(sudoUser=+*))(&(dataExpireTimestamp<=1468393118)))]<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_get_rules] (0x2000): About to get sudo rules from cache<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sysdb_search_group_by_gid] (0x0400): No such entry<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_get_sudorules_query_cache] (0x0200): Searching sysdb with [(&(objectClass=sudoRule)(|(sudoUser=ALL)(sudoUser=<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>)(sudoUser=#988604700)(sudoUser=%domain <a href="mailto:users@sd-stc.cz">users@sd-stc.cz</a>)(sudoUser=%<a href="mailto:unixadmins@sd-stc.cz">unixadmins@sd-stc.cz</a>)(sudoUser=%<a href="mailto:mfcr_mfg@sd-stc.cz">mfcr_mfg@sd-stc.cz</a>)(sudoUser=%<a href="mailto:account@sd-stc.cz">account@sd-stc.cz</a>)(sudoUser=%<a href="mailto:wifi@sd-stc.cz">wifi@sd-stc.cz</a>)(sudoUser=%grpunixadmins)(sudoUser=+*)))]<br>(Wed Jul 13 08:58:38 2016) [sssd[sudo]] [sudosrv_get_sudorules_from_cache] (0x0400): Returning 0 rules for [<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>]<br>(Wed Jul 13 08:58:42 2016) [sssd[sudo]] [client_recv] (0x0200): Client disconnected!<br>(Wed Jul 13 08:58:42 2016) [sssd[sudo]] [client_destructor] (0x2000): Terminated client [0x1330300][18]<br><br></div><div>It looks like it cannot get any rules from IPA server. Any idea why? It works fine on Centos 7.0 client.<br><br></div><div>Thanks <br><br></div><div>Tomas<br></div></div></div></div></div>