<div>[root@fs1 etc]# more /etc/ldap.conf</div><div>sudoers_debug: 1</div><div><div>[root@fs1 etc]# ls -l /etc/ldap.conf</div><div>-rw-r--r--. 1 root root 17 Oct 19 14:54 /etc/ldap.conf</div></div><div><br></div><div>Where should I see the extra output? I've had this set since last Friday and I'm not seeing any difference.</div>
<br><div class="gmail_quote">On Wed, Oct 31, 2012 at 2:20 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Bret Wortman wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
F17.<br>
</blockquote>
<br>
I think you want /etc/ldap.conf then. The easiest way to be sure the right file is being used is to add sudoers_debug 1 to the file. This will present a lot of extra output so you'll know the file is being read.<br>
<br>
rob<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br><div class="im">
On Wed, Oct 31, 2012 at 2:04 PM, Rob Crittenden <<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a><br></div><div class="im">
<mailto:<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>>> wrote:<br>
<br>
    Bret Wortman wrote:<br>
<br>
        I had enabled debugging of sudo but am not clear on where that<br>
        debugging<br>
        is going. It's not stdout, and I'm not seeing anything in<br>
        /var/log/messages.<br>
<br>
        I'll try switching to SSS and see what that gets me.<br>
<br>
<br>
    What distro is this? If it is RHEL 6.3 then put the configuration<br>
    into /etc/sudo-ldap.conf instead of /etc/nslcd. The docs are<br>
    incorrect (we are working on getting them fixed).<br>
<br>
    rob<br>
<br>
<br>
<br>
        On Wed, Oct 31, 2012 at 1:33 PM, Stephen Gallagher<br>
        <<a href="mailto:sgallagh@redhat.com" target="_blank">sgallagh@redhat.com</a> <mailto:<a href="mailto:sgallagh@redhat.com" target="_blank">sgallagh@redhat.com</a>><br></div><div class="im">
        <mailto:<a href="mailto:sgallagh@redhat.com" target="_blank">sgallagh@redhat.com</a> <mailto:<a href="mailto:sgallagh@redhat.com" target="_blank">sgallagh@redhat.com</a>>>> wrote:<br>
<br>
             On Wed 31 Oct 2012 11:53:15 AM EDT, Bret Wortman wrote:<br>
<br>
                 I'm pretty certain there's a painfully simple solution<br>
        to this that<br>
                 I'm not seeing, but my current configuration isn't<br>
        picking up the<br>
                 freeipa sudoer rule that I've set.<br>
<br>
                 /etc/nsswitch.conf specifies:<br>
                   sudoers:    files ldap<br>
<br>
                 /etc/nslcd.conf contains:<br>
<br>
                 binddn<br></div>
        uid=sudo,cn=sysaccounts,cn=___<u></u>_etc,dc=wedgeofli,dc=me<div><div class="h5"><br>
<br>
                 bindpw password<br>
<br>
                 ssl start_tls<br>
                 tls_cacertfile /etc/ipa/ca.crt<br>
                 tls_checkpeer yes<br>
<br>
                 bind_timelimit 5<br>
                 timelimit 15<br>
<br>
                 uri ldap://<a href="http://fs1.wedgeofli.me" target="_blank">fs1.wedgeofli.me</a> <<a href="http://fs1.wedgeofli.me" target="_blank">http://fs1.wedgeofli.me</a>><br>
        <<a href="http://fs1.wedgeofli.me" target="_blank">http://fs1.wedgeofli.me</a>><br>
                 <<a href="http://fs1.wedgeofli.me" target="_blank">http://fs1.wedgeofli.me</a>><br>
<br>
                 sudoers_base ou=SUDOers,dc=wedgeofli,dc=me<br>
<br>
<br>
                 The sssd_DOMAIN.log file contains this when I try to sudo:<br>
<br>
<br>
             <snip><br>
<br>
             The SSSD logs aren't showing anything wrong because they have<br>
             nothing to do with the execution of the SUDO rules in this<br>
             situation. All the SSSD is doing is verifying the<br>
        authentication<br>
             (when sudo prompts you for your password).<br>
<br>
             The problem with the rule is most likely happening inside SUDO<br>
             itself. When you specify 'sudoers: files, ldap' in<br>
        nsswitch.conf,<br>
             it's telling SUDO to use its own internal LDAP driver to<br>
        look up the<br>
             rules. So you need to check sudo logs to see what's happening<br>
             (probably you will need to enable debug logging in<br>
        /etc/sudo.conf).<br>
<br>
             Recent versions of SUDO (1.8.6 and later) have support for<br>
        setting<br>
             'sudoers: files, sss' in nsswitch.conf which DOES use SSSD<br>
        (1.9.0<br>
             and later) for lookups (and caching) of sudo rules.<br>
<br>
<br>
<br>
<br>
        --<br>
        Bret Wortman<br>
        The Damascus Group<br>
        Fairfax, VA<br>
        <a href="http://bretwortman.com/" target="_blank">http://bretwortman.com/</a><br>
        <a href="http://twitter.com/BretWortman" target="_blank">http://twitter.com/BretWortman</a><br>
<br>
<br>
<br>
<br>
        --<br>
        Bret Wortman<br>
        The Damascus Group<br>
        Fairfax, VA<br>
        <a href="http://bretwortman.com/" target="_blank">http://bretwortman.com/</a><br>
        <a href="http://twitter.com/BretWortman" target="_blank">http://twitter.com/BretWortman</a><br>
<br>
<br>
<br></div></div>
        ______________________________<u></u>___________________<br>
        Freeipa-users mailing list<br>
        <a href="mailto:Freeipa-users@redhat.com" target="_blank">Freeipa-users@redhat.com</a> <mailto:<a href="mailto:Freeipa-users@redhat.com" target="_blank">Freeipa-users@redhat.<u></u>com</a>><br>
        <a href="https://www.redhat.com/__mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/__<u></u>mailman/listinfo/freeipa-users</a><div class="im"><br>
        <<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/<u></u>mailman/listinfo/freeipa-users</a><u></u>><br>
<br>
<br>
<br>
<br>
<br>
--<br>
Bret Wortman<br>
The Damascus Group<br>
Fairfax, VA<br>
<a href="http://bretwortman.com/" target="_blank">http://bretwortman.com/</a><br>
<a href="http://twitter.com/BretWortman" target="_blank">http://twitter.com/BretWortman</a><br>
<br>
<br>
<br>
______________________________<u></u>_________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com" target="_blank">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/<u></u>mailman/listinfo/freeipa-users</a><br>
<br>
</div></blockquote>
<br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div>Bret Wortman</div><div>The Damascus Group</div><div>Fairfax, VA</div><div><a href="http://bretwortman.com/" target="_blank">http://bretwortman.com/</a></div>
<div><a href="http://twitter.com/BretWortman" target="_blank">http://twitter.com/BretWortman</a></div><br>