<div dir="ltr">HI,<div><br></div><div>thanks for your information. I have validated logs.</div><div><br></div><div>i destroyed the current kerberos ticket and re-initiated, then the issue solved.</div><div><br></div><div>Regards,</div><div>Ben</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 20, 2016 at 2:24 PM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, Dec 20, 2016 at 01:19:15PM +0300, Ben .T.George wrote:<br>
> Hi List,<br>
><br>
> please help me to implement sudo rules.<br>
><br>
> i have did below steps and still not working for me.<br>
><br>
> 1. created "Sudo Command Groups"<br>
> 2. Added some command (/bin/yum) and included in sudo group<br>
> 3. created "sudo Rule" on that<br>
>     * added sudo Option as "!authenticate"<br>
>       * Added User Group.<br>
>       * Added one Host<br>
>       * And under Run command, selected the Sudo Rule Group.<br>
> 4. entry on nsswitch.conf : sudoers: files sss<br>
> 5. entry on sssd.conf : services = nss, sudo, pam, ssh<br>
><br>
> and i tried removing "!authenticate" and changed to Anyone, Any Host and Any<br>
> Command,<br>
> Also under As Whom to Anyone and Any Group<br>
</span>> - I tried logout and login again on client with IPA user which is member of<br>
<span class="">> user group.<br>
><br>
> When i am running yum, getting error that user is not allowed to execute<br>
> command.<br>
><br>
><br>
> Please anyone help to correct my steps.<br>
><br>
> Regards<br>
> Ben<br>
<br>
</span>Please follow:<br>
    <a href="https://fedorahosted.org/sssd/wiki/HOWTO_Troubleshoot_SUDO" rel="noreferrer" target="_blank">https://fedorahosted.org/sssd/<wbr>wiki/HOWTO_Troubleshoot_SUDO</a><br>
especially the sudo logs are often helpful to see what rules is sssd<br>
returning to sudo.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/<wbr>mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div>