<div dir="ltr"><div><div>(redface)<br><br></div>It seems to be working.<br><br></div>Thanks<br><br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>------<br>The most dangerous phrase in the language is, "We've always done it this way."<br><br>- Grace Hopper<br></div></div></div></div>
<br><div class="gmail_quote">On 20 September 2016 at 09:57, Lachlan Musicman <span dir="ltr"><<a href="mailto:datakid@gmail.com" target="_blank">datakid@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div>We have one "allow all" sudo rule (anyone, any host, any command).<br><br>Matching Defaults entries for root on this host:<br>    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1<br>    PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY<br>    LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",<br>    secure_path=/sbin\:/bin\:/usr/<wbr>sbin\:/usr/bin<br><br>User root may run the following commands on this host:<br>    (ALL) ALL<br><br><br></div>My sssd.conf has:<br><br></div>[domain/unixdev.etc]<br>...<br>sudo_provider = ldap<br>ldap_uri = ldap://<a href="http://vmdv-linuxidm1.unixdev.petermac.org.au" target="_blank">vmdv-linuxidm1.unixdev.<wbr>petermac.org.au</a><br>ldap_sudo_search_base = or=sudoers,dc=unixdev,dc=<wbr>petermac,dc=org,dc=au<br>ldap_sasl_mech = GSSAPI<br>ldap_sasl_authid = host/<a href="http://vmdv-linuxidm1.unixdev.petermac.org.au" target="_blank">vmdv-linuxidm1.unixdev.<wbr>petermac.org.au</a><br>ldap_sasl_realm = <a href="http://UNIXDEV.PETERMAC.ORG.AU" target="_blank">UNIXDEV.PETERMAC.ORG.AU</a><br>krb5_server = <a href="http://vmdv-linuxidm1.unixdev.petermac.org.au" target="_blank">vmdv-linuxidm1.unixdev.<wbr>petermac.org.au</a><br><br>[sssd]<br>services = nss, sudo, pam, ssh<br>config_file_version = 2<br>domains = <a href="http://unixdev.petermac.org.au" target="_blank">unixdev.petermac.org.au</a><br>debug_level = 6<br><br>[sudo]<br>debug_level = 6<br><br></div>but only on the server - does that need to filter down to each client? The client side sssd.confs seem to be auto created when ipa-client-install is run, and are stripped down...<br><br></div>cheers<span class="HOEnZb"><font color="#888888"><br></font></span></div><span class="HOEnZb"><font color="#888888">L.<br></font></span></div><div class="gmail_extra"><span class=""><br clear="all"><div><div data-smartmail="gmail_signature"><div dir="ltr"><div>------<br>The most dangerous phrase in the language is, "We've always done it this way."<br><br>- Grace Hopper<br></div></div></div></div>
<br></span><div><div class="h5"><div class="gmail_quote">On 19 September 2016 at 18:21, Lukas Slebodnik <span dir="ltr"><<a href="mailto:lslebodn@redhat.com" target="_blank">lslebodn@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>On (19/09/16 16:43), Lachlan Musicman wrote:<br>
>I must have made an error again:<br>
><br>
>- ipa hbactest gives seemingly correct answer on both server and client<br>
>- user can't actually use sudo on client?<br>
><br>
>Centos 7, freeipa 4.2.o/2.156; sssd 1.14.1 from COPR<br>
><br>
>>From the server:<br>
><br>
>[root@vmdv-linuxidm1 ~]# ipa hbactest --user=<a href="mailto:lsimpson@petermac.org.au" target="_blank">lsimpson@petermac.org.a<wbr>u</a><br>
>--host=<a href="http://vmts-linuxclient1.unixdev.petermac.org.au" rel="noreferrer" target="_blank">vmts-linuxclient1.unix<wbr>dev.petermac.org.au</a> --service=sudo<br>
>--------------------<br>
>Access granted: True<br>
>--------------------<br>
>  Matched rules: Cluster Admin Users (sudo)<br>
>  Not matched rules: Cluster Users<br>
>[root@vmdv-linuxidm1 ~]#<br>
><br>
><br>
>>From the host in question:<br>
><br>
>[root@vmts-linuxclient1 ~]# ipa hbactest --user <a href="mailto:lsimpson@petermac.org.au" target="_blank">lsimpson@petermac.org.au</a><br>
>--host `hostname` --service sudo<br>
>--------------------<br>
>Access granted: True<br>
>--------------------<br>
>  Matched rules: Cluster Admin Users (sudo)<br>
>  Not matched rules: Cluster Users<br>
>[root@vmts-linuxclient1 ~]#<br>
><br>
><br>
>[lsimpson@petermac.org.au@vmt<wbr>s-linuxclient1 ~]$ sudo reboot<br>
>[sudo] password for <a href="mailto:lsimpson@petermac.org.au" target="_blank">lsimpson@petermac.org.au</a>:<br>
><a href="mailto:lsimpson@petermac.org.au" target="_blank">lsimpson@petermac.org.au</a> is not allowed to run sudo on vmts-linuxclient1.<br>
>This incident will be reported.<br>
><br>
</div></div>Did you configure sudo rules for such user?<br>
What is an output of "sudo -l"<br>
<span><font color="#888888"><br>
LS<br>
</font></span></blockquote></div><br></div></div></div>
</blockquote></div><br></div>