<div dir="ltr">Ok, thanks.<div class="gmail_extra"><div><br></div><br><div class="gmail_quote">2014-05-07 15:15 GMT+02:00 Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span>:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">Szymon Jazy wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello,<br>
Is there a proper way in sudo rules to allow any command and exclude<br>
only some groups?<br>
Something like:<br>
%test_group ALL=    (ALL)       ALL, !SU, !SHELLS<br>
If I try to do this (gui/cli) I get an error:<br>
ipa: ERROR: commands cannot be added when command category='all'<br>
</blockquote>
<br></div>
Unfortunately no. I opened <a href="https://fedorahosted.org/freeipa/ticket/4340" target="_blank">https://fedorahosted.org/<u></u>freeipa/ticket/4340</a><div class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Non proper way (bug ?) is to first add deny groups and after that add<br>
allow all :)<br>
It should be fixed in this, but it seems to still work<br>
(freeipa-server-3.3.4-3)<br>
<a href="https://fedorahosted.org/freeipa/ticket/1440" target="_blank">https://fedorahosted.org/<u></u>freeipa/ticket/1440</a><br>
</blockquote>
<br></div>
Right, it was an incomplete fix. I opened <a href="https://fedorahosted.org/freeipa/ticket/4341" target="_blank">https://fedorahosted.org/<u></u>freeipa/ticket/4341</a> to address that, though to be coordianted with 4340 so we don't remove your workaround first.<span class="HOEnZb"><font color="#888888"><br>


<br>
rob<br>
<br>
</font></span></blockquote></div><br></div></div>