<div dir="ltr"><div style>This is what you have to do to enable sudo support while using freeipa: I got it all from </div>sssd-sudo(5).<div><br></div><div>  # yum install libsss_sudo</div><div><br></div><div>Add this line to /etc/nsswitch.conf</div>
<div><br></div><div>  sudoers: files sss</div><div><br></div><div>Edit /etc/sssd/sssd.conf and make the following changes:</div><div><br></div><div>Add sudo to the "services =" line.</div><div><br></div><div style>
And add lines  like these to the [domain/<a href="http://example.com">example.com</a>] section</div><div><br clear="all"><div><div dir="ltr"><div dir="ltr">           sudo_provider = ldap</div><div dir="ltr">           ldap_uri = ldap://<a href="http://ipa.example.com">ipa.example.com</a></div>
<div dir="ltr">           ldap_sudo_search_base = ou=sudoers,dc=example,dc=com</div><div dir="ltr">           ldap_sasl_mech = GSSAPI</div><div dir="ltr">           ldap_sasl_authid = host/<a href="http://hostname.example.com">hostname.example.com</a></div>
<div dir="ltr">           ldap_sasl_realm = <a href="http://EXAMPLE.COM">EXAMPLE.COM</a></div><div dir="ltr">           krb5_server = <a href="http://ipa.example.com">ipa.example.com</a></div><div><br></div><div style>And after that sudo should work. For debugging stop the sssd service and run sssd with the following options:</div>
<div style><br></div><div style>/usr/sbin/sssd -D -f -d4<br></div><div dir="ltr"><br></div><div style>And then tail /var/log/sssd/sssd_example.com.log</div><div dir="ltr"><br></div><div style>My request to the freeipa developers is to add an option to ipa-install-client script to support these changes. Perhaps even make it the default since it's so nice and useful to have.</div>
<div style><br></div><div style><br></div><br># Han<div><br></div></div></div>
</div></div>