<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">    Did anyone find a solution for this?  I am having the same experience.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal" style="text-indent:.5in">ipa sudorule-show my_sudo_rule<o:p></o:p></p>
<p class="MsoNormal" style="text-indent:.5in">  Rule name: my_sudo_rule<o:p></o:p></p>
<p class="MsoNormal" style="text-indent:.5in">  Enabled: TRUE<o:p></o:p></p>
<p class="MsoNormal" style="text-indent:.5in">  Command category: all<o:p></o:p></p>
<p class="MsoNormal" style="text-indent:.5in">  User Groups: ugroup1, ugroup2, ugroup3<o:p></o:p></p>
<p class="MsoNormal" style="text-indent:.5in">  Host Groups: hgroup1<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal" style="text-indent:.5in">ipa hostgroup-show hgroup1<o:p></o:p></p>
<p class="MsoNormal" style="text-indent:.5in">  Host-group: hgroup1<o:p></o:p></p>
<p class="MsoNormal" style="text-indent:.5in">  Description: Test host group<o:p></o:p></p>
<p class="MsoNormal" style="text-indent:.5in">  Member hosts: server1.my_domain.com, server2.my_domain.com,<o:p></o:p></p>
<p class="MsoNormal" style="text-indent:.5in">                server3.my_domain.com, server4.my_domain.com<o:p></o:p></p>
<p class="MsoNormal" style="text-indent:.5in">  Member of HBAC rule: hbac_rule1<o:p></o:p></p>
<p class="MsoNormal" style="text-indent:.5in">  Member of Sudo rule: my_sudo_rule<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">    Only when I add the hosts directly into the sudo rule instead of indirectly through a host group does the sudo rule work.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">    Thanks,<o:p></o:p></p>
<p class="MsoNormal">    -Mark<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">On Jun 5, 2013, at 1:47 PM, KodaK wrote:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Sorry, for some reason gmail makes me forget about "reply all."<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">On Wed, Jun 5, 2013 at 2:45 PM, Dmitri Pal <dpal redhat com<mailto:dpal redhat com>> wrote:<o:p></o:p></p>
<p class="MsoNormal">On 06/05/2013 11:20 AM, KodaK wrote:<o:p></o:p></p>
<p class="MsoNormal">I know this has been discussed before, but I didn't see anything with a cursory search.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">There are bugs when using user and host groups with sudo rules.  I have to split out my users and hosts into individual entries.  I'm running ipa 3.0.0-26 on RHEL.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">All I really want to know is if this is fixed upstream.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I am not sure I recall a bug you are referring to. A quick scan against the open tickets does not reveal anything like what you describe.<o:p></o:p></p>
<p class="MsoNormal">Can you provide the description of the issue or point to the earlier thread on the matter?<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I'm going off of memory on seeing the previous bug.  It very well could be a false memory.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I have a rule like this:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">[jebalicki mo0033802 ~]$ ipa sudorule-show esolutions-sandbox-root-access<o:p></o:p></p>
<p class="MsoNormal">  Rule name: esolutions-sandbox-root-access<o:p></o:p></p>
<p class="MsoNormal">  Enabled: TRUE<o:p></o:p></p>
<p class="MsoNormal">  Users: slfries, awellard<o:p></o:p></p>
<p class="MsoNormal">  Hosts: slnessbxl01.unix.magellanhealth.com<o:p></o:p></p>
<p class="MsoNormal">  Sudo Allow Commands: /bin/su -<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">This works.  However, if I change the rule to use hostgroups instead of listing the hosts individually the rule will not work.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">The groups still exist and look like this:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">[jebalicki mo0033802 ~]$ ipa hostgroup-show esolutions-sandbox-hosts<o:p></o:p></p>
<p class="MsoNormal">  Host-group: esolutions-sandbox-hosts<o:p></o:p></p>
<p class="MsoNormal">  Description: esolutions sandbox hosts<o:p></o:p></p>
<p class="MsoNormal">  Member hosts: slnessbxl01.unix.magellanhealth.com<o:p></o:p></p>
<p class="MsoNormal">  Member of HBAC rule: esolutions-sandbox-access<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">[jebalicki mo0033802 ~]$ ipa group-show esolutions<o:p></o:p></p>
<p class="MsoNormal">  Group name: esolutions<o:p></o:p></p>
<p class="MsoNormal">  Description: esolutions group<o:p></o:p></p>
<p class="MsoNormal">  GID: 1115600250<o:p></o:p></p>
<p class="MsoNormal">  Member users: awellard, slfries<o:p></o:p></p>
<p class="MsoNormal">  Member of HBAC rule: esolutions-sandbox-access<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Client machine is pretty much default-out-of-the-box IRT IPA configuration, here's the installer output (installs during kickstart):<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">[root slnessbxl01 ~]# cat ks-post.log<o:p></o:p></p>
<p class="MsoNormal">Discovery was successful!<o:p></o:p></p>
<p class="MsoNormal">Hostname: slnessbxl01.unix.magellanhealth.com<o:p></o:p></p>
<p class="MsoNormal">Realm: UNIX.MAGELLANHEALTH.COM<o:p></o:p></p>
<p class="MsoNormal">DNS Domain: UNIX.MAGELLANHEALTH.COM<o:p></o:p></p>
<p class="MsoNormal">IPA Server: slpidml01.unix.magellanhealth.com<o:p></o:p></p>
<p class="MsoNormal">BaseDN: dc=unix,dc=magellanhealth,dc=com<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Synchronizing time with KDC...<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Enrolled in IPA realm UNIX.MAGELLANHEALTH.COM<o:p></o:p></p>
<p class="MsoNormal">Created /etc/ipa/default.conf<o:p></o:p></p>
<p class="MsoNormal">New SSSD config will be created.<o:p></o:p></p>
<p class="MsoNormal">Configured /etc/sssd/sssd.conf<o:p></o:p></p>
<p class="MsoNormal">Configured /etc/krb5.conf for IPA realm UNIX.MAGELLANHEALTH.COM<o:p></o:p></p>
<p class="MsoNormal">Warning: Hostname (slnessbxl01.unix.magellanhealth.com) not found in DNS<o:p></o:p></p>
<p class="MsoNormal">DNS server record set to: slnessbxl01.unix.magellanhealth.com -> 10.200.12.104<o:p></o:p></p>
<p class="MsoNormal">SSSD enabled<o:p></o:p></p>
<p class="MsoNormal">NTP enabled<o:p></o:p></p>
<p class="MsoNormal">Client configuration complete.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">[root slnessbxl01 ~]# rpm -qa | grep ipa<o:p></o:p></p>
<p class="MsoNormal">python-iniparse-0.3.1-2.1.el6.noarch<o:p></o:p></p>
<p class="MsoNormal">libipa_hbac-python-1.8.0-32.el6.x86_64<o:p></o:p></p>
<p class="MsoNormal">libipa_hbac-1.8.0-32.el6.x86_64<o:p></o:p></p>
<p class="MsoNormal">ipa-client-2.2.0-16.el6.x86_64<o:p></o:p></p>
<p class="MsoNormal">ipa-python-2.2.0-16.el6.x86_64<o:p></o:p></p>
<p class="MsoNormal">[root slnessbxl01 ~]# cat /etc/redhat-release<o:p></o:p></p>
<p class="MsoNormal">Red Hat Enterprise Linux Server release 6.3 (Santiago)<o:p></o:p></p>
<p class="MsoNormal">[root slnessbxl01 ~]#<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Troubleshooting:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Can you confirm that the output of the following commands:<o:p></o:p></p>
<p class="MsoNormal">1. $ domainname<o:p></o:p></p>
<p class="MsoNormal">* does it match your domain?<o:p></o:p></p>
<p class="MsoNormal">2. $ hostname<o:p></o:p></p>
<p class="MsoNormal">* does match match your fqdn?<o:p></o:p></p>
<p class="MsoNormal">3. $ getent netgroup esolutions-sandbox-hosts<o:p></o:p></p>
<p class="MsoNormal">* does this list your host?<o:p></o:p></p>
<p class="MsoNormal">4. Does /etc/nsswitch.conf contain the line: "netgroup:   files sss"?<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Another important Sudo Troubleshooting step is to edit: /etc/sudo-ldap.conf (or /etc/ldap.conf, depending on what version of RHEL/Sudo you're running):<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">At the top, add the line: sudoers_debug 2<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Then try another sudo command. sudo -l for example.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">This should result in a long list of search criteria and status.  The last few lines should indicate where any matches occurred.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">"Keeping your head in the cloud"<o:p></o:p></p>
<p class="MsoNormal">~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<o:p></o:p></p>
<p class="MsoNormal">JR Aquino<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Senior Information Security Specialist, Technical Operations<o:p></o:p></p>
<p class="MsoNormal">T: +1 805 690 3478 | F: +1 805 879 3730 | M: +1 805 717 0365<o:p></o:p></p>
<p class="MsoNormal">GIAC Certified Exploit Researcher and Advanced Penetration Tester |<o:p></o:p></p>
<p class="MsoNormal">GIAC WebApplication Penetration Tester | GIAC Certified Incident Handler<o:p></o:p></p>
<p class="MsoNormal">JR Aquino citrix com<mailto:JR Aquino citrix com><o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">[cid:image002.jpg@01CD4A37.5451DC00]<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Powering mobile workstyles and cloud services<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal" style="text-autospace:none"><b><span lang="EN-GB" style="font-size:8.0pt;font-family:"Arial","sans-serif";color:gray"><o:p> </o:p></span></b></p>
<p class="MsoNormal" style="text-autospace:none"><b><span lang="EN-GB" style="font-size:8.0pt;font-family:"Arial","sans-serif";color:gray">________________________________________________________________<o:p></o:p></span></b></p>
<p class="MsoNormal" style="text-autospace:none"><b><span lang="EN-GB" style="font-size:8.0pt;font-family:"Arial","sans-serif";color:gray">Mark Tovey - UNIX Engineer | Service Strategy & Design<o:p></o:p></span></b></p>
<p class="MsoNormal" style="text-autospace:none"><span lang="EN-GB" style="font-size:7.5pt;font-family:"Arial","sans-serif";color:blue"><a href="http://www.go2uti.com/"><span style="color:blue">UTi</span></a>
</span><span lang="EN-GB" style="font-size:7.5pt;font-family:"Arial","sans-serif";color:gray">| 400 SW Sixth Ave, Suite 1100 | Portland | Oregon | 97204 | USA<o:p></o:p></span></p>
<p class="MsoNormal" style="text-autospace:none"><span lang="EN-GB" style="font-size:7.5pt;font-family:"Arial","sans-serif";color:gray"><a href="mailto:MTovey@go2uti.com"><span style="color:blue">MTovey@go2uti.com</span></a> | O / C +1 503 953-1389 | Skype:
 mark.tovey2</span><span lang="EN"><o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>