<div dir="ltr"><div><div>Hi Lukas,<br></div>thanks, I see you're really trying to help.<br></div>Log files are attached.<br></div><div class="gmail_extra"><br><div class="gmail_quote">2016-07-14 18:42 GMT+02:00 Lukas Slebodnik <span dir="ltr"><<a href="mailto:lslebodn@redhat.com" target="_blank">lslebodn@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On (14/07/16 13:52), Tomas Simecek wrote:<br>
>Hi Lukas,<br>
</span><span class="">>sorry to say, but nothing helps.<br>
><br>
>I have just updated IPA server, so that now it is:<br>
>[root@svlxxipap ~]# cat /etc/redhat-release<br>
>CentOS Linux release 7.2.1511 (Core)<br>
><br>
>with:<br>
>[root@svlxxipap ~]# rpm -qa|grep ipa<br>
>ipa-server-trust-ad-4.2.0-15.0.1.el7.centos.17.x86_64<br>
>libipa_hbac-1.13.0-40.el7_2.9.x86_64<br>
>ipa-python-4.2.0-15.0.1.el7.centos.17.x86_64<br>
>ipa-server-dns-4.2.0-15.0.1.el7.centos.17.x86_64<br>
>python-iniparse-0.4-9.el7.noarch<br>
>ipa-server-4.2.0-15.0.1.el7.centos.17.x86_64<br>
>sssd-ipa-1.13.0-40.el7_2.9.x86_64<br>
>ipa-admintools-4.2.0-15.0.1.el7.centos.17.x86_64<br>
>python-libipa_hbac-1.13.0-40.el7_2.9.x86_64<br>
>ipa-client-4.2.0-15.0.1.el7.centos.17.x86_64<br>
><br>
</span>It has to work with IPA on CentOS 7.2<br>
and sssd-1.13.3-22.el6_8.4 on client.<br>
<span class=""><br>
>I have also changed sudoers to sudo in sssd.conf as you suggested and<br>
>restarted sssd.<br>
>No difference, still:<br>
>[simecek.tomas@sd-stc.cz@zp-cml-test ~]$ sudo service sshd restart<br>
>[sudo] password for <a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>:<br>
><a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a> is not in the sudoers file.  This incident will be<br>
>reported.<br>
><br>
>I guess I will pilot some more IPA clients to make sure it works reliably<br>
>and if yes, I guess we will be able to live with the fact that older<br>
>Linuxes doe not offer sudo to AD clients.<br>
><br>
</span>I assume you meant AD users from trust.<br>
<br>
But previously, you provided data and user was member of group which<br>
should be alowed to use sudo rules.<br>
<br>
I would like to find out why sudo rules were not fetched from IPA.<br>
<span class=""><br>
I would like to see full log file + dump of sssd cache.<br>
Please:<br>
</span>* clean cache and log files on *IPA server*<br>
<span class="">  rm -f /var/lib/sss/db/* /var/log/sssd/*<br>
* enable debug_level=9 in domain section and sudo<br>
</span>* restart sssd on *IPA server*<br>
<br>
* clean cache and log files on *IPA client*<br>
<span class="">  rm -f /var/lib/sss/db/* /var/log/sssd/*<br>
* enable debug_level=9 in domain section and sudo<br>
</span>* restart sssd *IPA client*<br>
<br>
<br>
* authernticate with user <a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a><br>
* call id <a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a><br>
* try sudo.<br>
<br>
* send all sssd log files + sssd.conf<br>
<span class="">* provide dump of sssd cache<br>
  ldbsearch -H /var/lib/sss/db/cache_$domain.ldb<br>
    (utility ldbsearch is part of package ldb-tools<br>
<br>
<br>
</span>Please provide log files, sssd.conf and dump of sssd cache<br>
from client and also from IPA server.<br>
<br>
Thank you very much for patience.<br>
<span class="HOEnZb"><font color="#888888"><br>
LS<br>
</font></span></blockquote></div><br></div>