<div dir="ltr"><div><div><div><div><div><div><div><div><div><div>Thanks Lukas,<br></div>to be honest I am not sure what do you mean by "Please test with id <a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>."<br></div>It is the user I am testing with all the time.<br><br></div>Here is what I see on client where sudo does not work:<br>[simecek.tomas@sd-stc.cz@zp-cml-test ~]$ id<br>uid=988604700(<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>) gid=988604700(<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>) groups=988604700(<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>),431200004(grpunixadmins),988600513(domain <a href="mailto:users@sd-stc.cz">users@sd-stc.cz</a>),988604182(<a href="mailto:account@sd-stc.cz">account@sd-stc.cz</a>),988604754(<a href="mailto:mfcr_mfg@sd-stc.cz">mfcr_mfg@sd-stc.cz</a>),988604825(<a href="mailto:unixadmins@sd-stc.cz">unixadmins@sd-stc.cz</a>),988604833(<a href="mailto:wifiadmins@sd-stc.cz">wifiadmins@sd-stc.cz</a>)<br><br></div>You can see Centos 6.6 client knows about all the groups assigned to the users, incl. AD groups (unixadmins), which seems funny to me.<br><br></div>You are right, IPA server is Centos 7.0 and functional client is Centos 7.0 as well. Both login and sudo work on client with Centos 7.0.<br></div>Rules on IPA server are set to work on both clients, but work only on 7.0.<br></div>If I run update on server, it would update ipa-server from v. 4.2.0-15.0.1.el7.centos.6.1 to v. 4.2.0-15.0.1.el7.centos.17.<br><br></div>Does it make sense now?<br><br></div>Thanks<br><br></div>T.<br><div><div><div><div><div><div><br></div></div></div></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-07-14 12:21 GMT+02:00 Lukas Slebodnik <span dir="ltr"><<a href="mailto:lslebodn@redhat.com" target="_blank">lslebodn@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On (14/07/16 11:26), Tomas Simecek wrote:<br>
>Hi Lukas,<br>
>we have Active Directory group "UnixAdmins"<br>
>.<br>
>We have IPA external group ad_admins_external<br>
</span>><<a href="https://svlxxipap.linuxdomain.cz/ipa/ui/#ad_admins_external" rel="noreferrer" target="_blank">https://svlxxipap.linuxdomain.cz/ipa/ui/#ad_admins_external</a>>, which has<br>
<span class="">>Windows "UnixAdmins" group as a member.<br>
>We have local IPA group grpunixadmins<br>
</span>><<a href="https://svlxxipap.linuxdomain.cz/ipa/ui/#grpunixadmins" rel="noreferrer" target="_blank">https://svlxxipap.linuxdomain.cz/ipa/ui/#grpunixadmins</a>>, which has<br>
<span class="">>ad_admins_external group as a member.<br>
>So from that perspective user <a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a> is a member of<br>
</span>>grpunixadmins <<a href="https://svlxxipap.linuxdomain.cz/ipa/ui/#grpunixadmins" rel="noreferrer" target="_blank">https://svlxxipap.linuxdomain.cz/ipa/ui/#grpunixadmins</a>>.<br>
<span class="">>That setup works for ssh logins and for sudo on Centos 7.0.<br>
><br>
</span>If user is member of group in IPA it does not mean that<br>
it's properly propagated to client :-)<br>
<br>
I can see few errors in log<br>
<span class="">>(Thu Jul 14 09:53:57 2016) [sssd[be[<a href="http://linuxdomain.cz" rel="noreferrer" target="_blank">linuxdomain.cz</a>]]]<br>
>[sysdb_mod_group_member] (0x0080): ldb_modify failed: [No such<br>
>object](32)[ldb_wait: No such object (32)]<br>
>(Thu Jul 14 09:53:57 2016) [sssd[be[<a href="http://linuxdomain.cz" rel="noreferrer" target="_blank">linuxdomain.cz</a>]]]<br>
>[sysdb_mod_group_member] (0x0400): Error: 2 (No such file or directory)<br>
>(Thu Jul 14 09:53:57 2016) [sssd[be[<a href="http://linuxdomain.cz" rel="noreferrer" target="_blank">linuxdomain.cz</a>]]]<br>
>[sysdb_update_members_ex] (0x0020): Could not add member [<br>
><a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>] to group [name=<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a><br>
>,cn=groups,cn=<a href="http://sd-stc.cz" rel="noreferrer" target="_blank">sd-stc.cz</a>,cn=sysdb]. Skipping.<br>
</span><span class="">>(Thu Jul 14 09:53:57 2016) [sssd[be[<a href="http://linuxdomain.cz" rel="noreferrer" target="_blank">linuxdomain.cz</a>]]]<br>
</span>>[ipa_s2n_save_objects] (0x2000): Updating memberships for<br>
><a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a><br>
<span class="">>(Thu Jul 14 09:53:57 2016) [sssd[be[<a href="http://linuxdomain.cz" rel="noreferrer" target="_blank">linuxdomain.cz</a>]]]<br>
>[sysdb_mod_group_member] (0x0080): ldb_modify failed: [No such<br>
>object](32)[ldb_wait: No such object (32)]<br>
>(Thu Jul 14 09:53:57 2016) [sssd[be[<a href="http://linuxdomain.cz" rel="noreferrer" target="_blank">linuxdomain.cz</a>]]]<br>
>[sysdb_mod_group_member] (0x0400): Error: 2 (No such file or directory)<br>
>(Thu Jul 14 09:53:57 2016) [sssd[be[<a href="http://linuxdomain.cz" rel="noreferrer" target="_blank">linuxdomain.cz</a>]]]<br>
>[sysdb_update_members_ex] (0x0020): Could not add member [<br>
><a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>] to group [name=<a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a><br>
>,cn=groups,cn=<a href="http://sd-stc.cz" rel="noreferrer" target="_blank">sd-stc.cz</a>,cn=sysdb]. Skipping.<br>
<br>
</span>Please test with id <a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>.<br>
I'm preatty sure that you will not see a group grpunixadmins.<br>
<br>
BTW according to domain logs it looks like a bug with extop plugin<br>
on freeipa server. I assume that ipa server is on CentOS 7.0<br>
because you mention it works on Centos 7.0.<br>
<br>
I would strongly recommend to upgrade server to 7.2<br>
<span class="HOEnZb"><font color="#888888"><br>
LS<br>
</font></span></blockquote></div><br></div>