<br><br><div class="gmail_quote">On Wed, Oct 17, 2012 at 2:26 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
<div class="im">Rich Megginson wrote:<br>
<blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
On 10/17/2012 12:49 PM, Macklin, Jason wrote:<br>
<blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
ldapsearch -xLLL -H ldap://<a href="http://dbduvdu145.dbr.roche.com" target="_blank">dbduvdu145.dbr.roche.<u></u>com</a> -D "cn=directory<br>
manager" -W -b "dc=dbr,dc=roche,dc=com" uid=asteinfeld \*<br>
</blockquote>
<snip><br>
<blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
<br>
dn: uid=asteinfeld,cn=users,cn=<u></u>accounts,dc=dbr,dc=roche,dc=<u></u>com<br>
</blockquote>
...snip...<br>
<blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
krbPrincipalName: <a href="mailto:asteinfeld@DBR.ROCHE.COM" target="_blank">asteinfeld@DBR.ROCHE.COM</a><br>
krbPasswordExpiration: 20130324201805Z<br>
krbLastPwdChange: 20120925201805Z<br>
krbLoginFailedCount: 0<br>
krbLastSuccessfulAuth: 20121017184614Z<br>
krbTicketFlags: 128<br>
krbLastFailedAuth: 20121015143818Z<br>
</blockquote>
<br>
No krbPwdLockoutDuration attribute - so according to ipalockout_preop()<br>
this means the "Entry permanently locked".  Not sure why.<br>
</blockquote>
<br></div>
I don't believe this applies if the attribute doesn't exist. It doesn't for any of my test users and it works fine.<div class="HOEnZb"><div class="h5"><br>
<br>
<blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote"><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">

<br>
[jmacklin@dbduwdu062 Desktop]$ ldapsearch -xLLL -H<br>
ldap://<a href="http://dbduvdu145.dbr.roche.com" target="_blank">dbduvdu145.dbr.roche.<u></u>com</a> -D "cn=directory manager" -W -b<br>
"dc=dbr,dc=roche,dc=com" uid=jmacklin \*Enter LDAP Password:<br>
dn: uid=jmacklin,cn=users,cn=<u></u>compat,dc=dbr,dc=roche,dc=com<br>
objectClass: posixAccount<br>
objectClass: top<br>
gecos: Jason Macklin<br>
cn: Jason Macklin<br>
uidNumber: 2084<br>
gidNumber: 2084<br>
loginShell: /bin/bash<br>
homeDirectory: /home2/jmacklin<br>
uid: jmacklin<br>
<br>
dn: uid=jmacklin,cn=users,cn=<u></u>accounts,dc=dbr,dc=roche,dc=<u></u>com<br>
displayName: Jason Macklin<br>
cn: Jason Macklin<br>
objectClass: top<br>
objectClass: person<br>
objectClass: organizationalperson<br>
objectClass: inetorgperson<br>
objectClass: inetuser<br>
objectClass: posixaccount<br>
objectClass: krbprincipalaux<br>
objectClass: krbticketpolicyaux<br>
objectClass: ipaobject<br>
objectClass: mepOriginEntry<br>
loginShell: /bin/bash<br>
sn: Macklin<br>
gecos: Jason Macklin<br>
homeDirectory: /home2/jmacklin<br>
krbPwdPolicyReference:<br>
cn=global_policy,cn=<a href="http://DBR.ROCHE.COM" target="_blank">DBR.ROCHE.<u></u>COM</a>,cn=kerberos,dc=dbr,dc<br>
  =roche,dc=com<br>
krbPrincipalName: <a href="mailto:jmacklin@DBR.ROCHE.COM" target="_blank">jmacklin@DBR.ROCHE.COM</a><br>
givenName: Jason<br>
uid: jmacklin<br>
initials: JM<br>
uidNumber: 2084<br>
gidNumber: 2084<br>
ipaUniqueID: 045652b4-8e3c-11e1-831f-<u></u>005056bb0010<br>
mepManagedEntry: cn=jmacklin,cn=groups,cn=<u></u>accounts,dc=dbr,dc=roche,dc=<u></u>com<br>
memberOf: cn=admins,cn=groups,cn=<u></u>accounts,dc=dbr,dc=roche,dc=<u></u>com<br>
memberOf: cn=Replication<br>
Administrators,cn=privileges,<u></u>cn=pbac,dc=dbr,dc=roche,<br>
  dc=com<br>
memberOf: cn=Add Replication<br>
Agreements,cn=permissions,cn=<u></u>pbac,dc=dbr,dc=roche<br>
  ,dc=com<br>
memberOf: cn=Modify Replication<br>
Agreements,cn=permissions,cn=<u></u>pbac,dc=dbr,dc=ro<br>
  che,dc=com<br>
memberOf: cn=Remove Replication<br>
Agreements,cn=permissions,cn=<u></u>pbac,dc=dbr,dc=ro<br>
  che,dc=com<br>
memberOf: cn=Host Enrollment,cn=privileges,cn=<u></u>pbac,dc=dbr,dc=roche,dc=com<br>
memberOf: cn=Manage host<br>
keytab,cn=permissions,cn=pbac,<u></u>dc=dbr,dc=roche,dc=com<br>
memberOf: cn=Enroll a host,cn=permissions,cn=pbac,<u></u>dc=dbr,dc=roche,dc=com<br>
memberOf: cn=Add krbPrincipalName to a<br>
host,cn=permissions,cn=pbac,<u></u>dc=dbr,dc=r<br>
  oche,dc=com<br>
memberOf: cn=Unlock user<br>
accounts,cn=permissions,cn=<u></u>pbac,dc=dbr,dc=roche,dc=co<br>
  m<br>
memberOf: cn=Manage service<br>
keytab,cn=permissions,cn=pbac,<u></u>dc=dbr,dc=roche,dc=c<br>
  om<br>
memberOf: cn=dbr,cn=groups,cn=accounts,<u></u>dc=dbr,dc=roche,dc=com<br>
memberOf:<br>
ipaUniqueID=23216c12-9934-<u></u>11e1-bd4c-005056bb0010,cn=<u></u>sudorules,cn=sud<br>
  o,dc=dbr,dc=roche,dc=com<br>
krbLastFailedAuth: 20121017164159Z<br>
krbPrincipalKey::<br>
MIIC4qADAgEBoQMCAQGiAwIBBaMDAg<u></u>EBpIICyjCCAsYwbaAgMB6gAwIBAKEX<br>
<br>
BBVEQlIuUk9DSEUuQ09Nam1hY2tsaW<u></u>6hSTBHoAMCARKhQAQ+<u></u>IACOG0H0Ebd8nSSY6zU3Y29ZHtQ9a<br>
<br>
<br>
sC2QJFL/<u></u>lnbaFO1DYG15WjJYXnJ7k3m0LN0aTy<u></u>jvz7FN4OWMF4tvvowXaAgMB6gAwIBA<u></u>KEXBBVEQl<br>
<br>
<br>
IuUk9DSEUuQ09Nam1hY2tsaW6hOTA3<u></u>oAMCARGhMAQuEAD6UdNSe/<u></u>mp8qqi4OuT7HOqIs80DFQDRny<br>
<br>
<br>
37aZaD4lYrFsnQiBtpnpMnNSxADBlo<u></u>CAwHqADAgEAoRcEFURCUi5ST0NIRS5<u></u>DT01qbWFja2xpbqFB<br>
<br>
<br>
MD+gAwIBEKE4BDYYADAQZLDW61U+<u></u>4aEZT4b+/X/<u></u>OpiQLHTQlyIUolm9EjVG4wXu+<u></u>8Mn4lMYMZyR/F<br>
<br>
<br>
Gw6NWeeq1kwXaAgMB6gAwIBAKEXBBV<u></u>EQlIuUk9DSEUuQ09Nam1hY2tsaW6hO<u></u>TA3oAMCARehMAQuEA<br>
<br>
<br>
CiWDGd28XkiaDAwpGyK0MqSawLCXs+<u></u>jKOFAA5BoSpayVTJJqjzAwSEitSu5z<u></u>BVoCAwHqADAgEAoRc<br>
<br>
<br>
EFURCUi5ST0NIRS5DT01qbWFja2xpb<u></u>qExMC+<u></u>gAwIBCKEoBCYIAKL5bzV4nQide/+6/<u></u>2FE5LxYGULv<br>
<br>
<br>
8Ws/Uu0RXrwAnR8/<u></u>ZuUh0TBVoCAwHqADAgEAoRcEFURCUi<u></u>5ST0NIRS5DT01qbWFja2xpbqExMC+<u></u>gA<br>
<br>
<br>
wIBA6EoBCYIANgV0agxRmfBwY2Cb7g<u></u>Plm1oWDY5qhZidd8a0KmeIlBG56XLZ<u></u>jAzoTEwL6ADAgEBoS<br>
<br>
<br>
gEJggAo/<u></u>BQC7g4SWQY0UkU7rvoOAXwobVlAZn8<u></u>mesgQEznRDr2+<u></u>bxjME2gGDAWoAMCAQWhDwQNREJ<br>
<br>
<br>
SLlJPQ0hFLkNPTaExMC+<u></u>gAwIBAaEoBCYIAMDDcwjYU6jLJTnE+<u></u>Lzs0Ulxgf4FDEnTRXTjfJBqXIJb<br>
<br>
  R5aBPg==<br>
krbLastPwdChange: 20120809140419Z<br>
krbPasswordExpiration: 20130205140419Z<br>
userPassword::<br>
e1NTSEF9a0NXcUxTc1JOQ2tEUVlLVV<u></u>F4VTdJLzh1TXREVnBWZjlnMWRxa0E9<u></u>PQ=<br>
  =<br>
krbExtraData:: AAJjwyNQa2FkbWluZEBEQlIuUk9DSE<u></u>UuQ09NAA==<br>
krbLastSuccessfulAuth: 20121017184444Z<br>
krbLoginFailedCount: 0<br>
krbTicketFlags: 128<br>
<br>
So with all of that output, I would like to mention the discrepancy<br>
with ldap.conf.  Just trying to get any "sudo" working on RHEL 6.3 was<br>
problematic until I stumbled upon a post that mentioned<br>
creating/editing /etc/sudo-ldap.conf rather then /etc/ldap.conf or<br>
/etc/openldap/ldap.conf.  If I remove the /etc/sudo-ldap.conf then I<br>
have no sudo capabilities at all.<br>
<br>
-----Original Message-----<br>
From: Rich Megginson [mailto:<a href="mailto:rmeggins@redhat.com" target="_blank">rmeggins@redhat.com</a>]<br>
Sent: Wednesday, October 17, 2012 2:06 PM<br>
To: Macklin, Jason {DASB~Branford}<br>
Cc: <a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>; <a href="mailto:freeipa-users@redhat.com" target="_blank">freeipa-users@redhat.com</a><br>
Subject: Re: [Freeipa-users] Sudo works for full access, but not on a<br>
per command or host level.<br>
<br>
On 10/17/2012 11:51 AM, Macklin, Jason wrote:<br>
<blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
I assume that this iteration was with the correct credentials as it<br>
responds with something other then "Invalid Credentials"<br>
<br>
ldapsearch -xLLL -H ldap://<a href="http://dbduvdu145.dbr.roche.com" target="_blank">dbduvdu145.dbr.roche.<u></u>com</a> -D "cn=directory<br>
manager" -W uid=asteinfeld \* krbPwdLockoutDuration ?<br>
Enter LDAP Password:<br>
No such object (32)<br>
<br>
Working account returns same thing...<br>
<br>
ldapsearch -xLLL -H ldap://<a href="http://dbduvdu145.dbr.roche.com" target="_blank">dbduvdu145.dbr.roche.<u></u>com</a> -D "cn=directory<br>
manager" -W uid=jmacklin \* krbPwdLockoutDuration ?<br>
Enter LDAP Password:<br>
No such object (32)<br>
</blockquote>
Sorry, I though ipa would have configured your /etc/openldap/ldap.conf<br>
with your base dn.  Try this:<br>
<br>
ldapsearch -xLLL -H ldap://<a href="http://dbduvdu145.dbr.roche.com" target="_blank">dbduvdu145.dbr.roche.<u></u>com</a> -D "cn=directory<br>
manager" -W -b "dc=dbr,dc=roche,dc=com" uid=jmacklin \*<br>
<blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
-----Original Message-----<br>
From: Rob Crittenden [mailto:<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>]<br>
Sent: Wednesday, October 17, 2012 1:37 PM<br>
To: Macklin, Jason {DASB~Branford}<br>
Cc: <a href="mailto:rmeggins@redhat.com" target="_blank">rmeggins@redhat.com</a>; <a href="mailto:freeipa-users@redhat.com" target="_blank">freeipa-users@redhat.com</a><br>
Subject: Re: [Freeipa-users] Sudo works for full access, but not on a<br>
per command or host level.<br>
<br>
Macklin, Jason wrote:<br>
<blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
ldapsearch -xLLL -H ldap://<a href="http://dbduvdu145.dbr.roche.com" target="_blank">dbduvdu145.dbr.roche.<u></u>com</a> -D "cn=directory<br>
manager" -W uid=asteinfeld \* krbPwdLockoutDuration ?<br>
Enter LDAP Password:<br>
ldap_bind: Invalid credentials (49)<br>
<br>
I know this user password because I reset it for the purpose of<br>
troubleshooting this issue with that account. I also get the same<br>
response when I use the admin account of my own account.<br>
</blockquote>
You use the password of the user you are binding as, in this case the<br>
directory manager.<br>
<br>
rob<br>
<br>
<blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
-----Original Message-----<br>
From: Rich Megginson [mailto:<a href="mailto:rmeggins@redhat.com" target="_blank">rmeggins@redhat.com</a>]<br>
Sent: Wednesday, October 17, 2012 1:15 PM<br>
To: Macklin, Jason {DASB~Branford}<br>
Cc: <a href="mailto:simo@redhat.com" target="_blank">simo@redhat.com</a>; <a href="mailto:freeipa-users@redhat.com" target="_blank">freeipa-users@redhat.com</a><br>
Subject: Re: [Freeipa-users] Sudo works for full access, but not on<br>
a per command or host level.<br>
<br>
On 10/17/2012 11:13 AM, Macklin, Jason wrote:<br>
<blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
None of my users have an LDAP password being requested by running<br>
that command (except the admin user).<br>
<br>
Does each user account require an ldap account to go along with<br>
their login account?  I just get the following over and over no<br>
matter which account I switch in the command...<br>
<br>
[jmacklin@dbduwdu062 Desktop]$ ldapsearch -xLLL -D "cn=directory<br>
manager" -W uid=admin \* krbPwdLockoutDuration ?<br>
Enter LDAP Password:<br>
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)<br>
[jmacklin@dbduwdu062 Desktop]$ ldapsearch -xLLL -D "cn=directory<br>
manager" -W uid=asteinfeld \* krbPwdLockoutDuration ?<br>
Enter LDAP Password:<br>
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)<br>
[jmacklin@dbduwdu062 Desktop]$ ldapsearch -xLLL -D "cn=directory<br>
manager" -W uid=jmacklin \* krbPwdLockoutDuration ?<br>
Enter LDAP Password:<br>
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)<br>
</blockquote>
You have to specify which server to talk to using the -H<br>
ldap://fqdn.of.host option.<br>
<br>
______________________________<u></u>_________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com" target="_blank">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/<u></u>mailman/listinfo/freeipa-users</a><br>
<br>
</blockquote></blockquote></blockquote>
<br>
</blockquote>
<br>
______________________________<u></u>_________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com" target="_blank">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/<u></u>mailman/listinfo/freeipa-users</a><br>
</div></div></blockquote></div><div>In case there is a bug I wanted to throw my hat in the ring because I am having almost the same exact issue with my deployment of sudo.  I setup a sudo rule on the ipa server with a single sudo command (/bin/su), for all hosts, for a specific usergroup (netops). DIdn't work for my netops user. When I eliminated the specific sudo command and went for all sudo commands it started to work for my netops user.  So I decided to add a few more hosts to test.  However now with the 2 additional host no sudo commands work on either of these two hosts.</div>
<div> </div><div>David  <br></div>