<div dir="ltr"><div><div><div><div><div><div><div>Hi Lukas,<br></div>sorry to say, but nothing helps.<br><br></div>I have just updated IPA server, so that now it is:<br>[root@svlxxipap ~]# cat /etc/redhat-release <br>CentOS Linux release 7.2.1511 (Core)<br><br></div>with:<br>[root@svlxxipap ~]# rpm -qa|grep ipa<br>ipa-server-trust-ad-4.2.0-15.0.1.el7.centos.17.x86_64<br>libipa_hbac-1.13.0-40.el7_2.9.x86_64<br>ipa-python-4.2.0-15.0.1.el7.centos.17.x86_64<br>ipa-server-dns-4.2.0-15.0.1.el7.centos.17.x86_64<br>python-iniparse-0.4-9.el7.noarch<br>ipa-server-4.2.0-15.0.1.el7.centos.17.x86_64<br>sssd-ipa-1.13.0-40.el7_2.9.x86_64<br>ipa-admintools-4.2.0-15.0.1.el7.centos.17.x86_64<br>python-libipa_hbac-1.13.0-40.el7_2.9.x86_64<br>ipa-client-4.2.0-15.0.1.el7.centos.17.x86_64<br><br></div>I have also changed sudoers to sudo in sssd.conf as you suggested and restarted sssd.<br></div>No difference, still:<br>[simecek.tomas@sd-stc.cz@zp-cml-test ~]$ sudo service sshd restart<br>[sudo] password for <a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a>: <br><a href="mailto:simecek.tomas@sd-stc.cz">simecek.tomas@sd-stc.cz</a> is not in the sudoers file.  This incident will be reported.<br><br></div>I guess I will pilot some more IPA clients to make sure it works reliably and if yes, I guess we will be able to live with the fact that older Linuxes doe not offer sudo to AD clients.<br><br></div>Or do you think there is something more to try?<br><div><div><br></div><div>Thanks<br><br></div><div>T.<br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-07-14 13:32 GMT+02:00 Lukas Slebodnik <span dir="ltr"><<a href="mailto:lslebodn@redhat.com" target="_blank">lslebodn@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On (14/07/16 13:06), Tomas Simecek wrote:<br>
>Hi Lukas,<br>
>I did as you said.<br>
>Logs are attached to this mail.<br>
><br>
</span>Thank you very much for provided data.<br>
<br>
The main problem is that full refresh of sudo rules did not store any rules.<br>
<br>
It might be caused by following errors which might be caused by issues<br>
with old buggy IPA server on CentOS 7.0<br>
<br>
[ipa_s2n_save_objects] (0x2000): Updating memberships for <a href="mailto:borek.pavel@sd-stc.cz">borek.pavel@sd-stc.cz</a><br>
<span class="">[sysdb_mod_group_member] (0x0080): ldb_modify failed: [No such object](32)[ldb_wait: No such object (32)]<br>
</span><span class="">[sysdb_mod_group_member] (0x0400): Error: 2 (No such file or directory)<br>
</span>[sysdb_update_members_ex] (0x0020): Could not add member [<a href="mailto:borek.pavel@sd-stc.cz">borek.pavel@sd-stc.cz</a>] to group [name=<a href="mailto:account@sd-stc.cz">account@sd-stc.cz</a>,cn=groups,cn=<a href="http://sd-stc.cz" rel="noreferrer" target="_blank">sd-stc.cz</a>,cn=sysdb]. Skipping.<br>
<span class="">[sysdb_mod_group_member] (0x0080): ldb_modify failed: [No such object](32)[ldb_wait: No such object (32)]<br>
</span><span class="">[sysdb_mod_group_member] (0x0400): Error: 2 (No such file or directory)<br>
</span>[sysdb_update_members_ex] (0x0020): Could not add member [<a href="mailto:borek.pavel@sd-stc.cz">borek.pavel@sd-stc.cz</a>] to group [name=<a href="mailto:borek.pavel@sd-stc.cz">borek.pavel@sd-stc.cz</a>,cn=groups,cn=<a href="http://sd-stc.cz" rel="noreferrer" target="_blank">sd-stc.cz</a>,cn=sysdb]. Skipping.<br>
<br>
Attached is a reduced log.<br>
<br>
You might try new feature in sssd-1.13 on el6 which will<br>
avoid using compat tree for sudo.<br>
<br>
Try to change ldap_sudo_search_base from<br>
ou=sudoers,dc=linuxdomain,dc=cz -> cn=sudo,dc=linuxdomain,dc=cz<br>
<br>
It does not mean that it will solve issue with extop plugin<br>
on IPA server (ipa_s2n_save_objects)<br>
<br>
If it does not help then please provide the same data as in previous mail.<br>
BTW I strogly suspect issues on IPA server on CentOS 7.0.<br>
It might work on CentOS 7.0 client only by chance.<br>
<span class="HOEnZb"><font color="#888888"><br>
LS<br>
</font></span></blockquote></div><br></div>