<div dir="ltr"><div>Hello,</div><div>Is there a proper way in sudo rules to allow any command and exclude only some groups?</div><div>Something like:</div><div>%test_group ALL=    (ALL)       ALL, !SU, !SHELLS</div><div>If I try to do this (gui/cli) I get an error:</div>

<div>ipa: ERROR: commands cannot be added when command category='all'</div><div><br></div><div>Non proper way (bug ?) is to first add deny groups and after that add allow all :)</div><div>It should be fixed in this, but it seems to still work (freeipa-server-3.3.4-3)</div>

<div><a href="https://fedorahosted.org/freeipa/ticket/1440">https://fedorahosted.org/freeipa/ticket/1440</a></div><div><br></div><div>Thanks</div><div>Szymon </div><div><br></div>
</div>