<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">2014-09-01 18:47 GMT+02:00 Dmitri Pal <span dir="ltr"><<a href="mailto:dpal@redhat.com" target="_blank">dpal@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

  
    
  
  <div text="#000000" bgcolor="#FFFFFF"><div><div class="h5">
    <div>On 09/01/2014 06:17 PM, Rob Verduijn
      wrote:<br>
    </div>
    <blockquote type="cite">
      <div dir="ltr">Hello,
        <div><br>
        </div>
        <div>I've a freeipa running on fedora 20 with fedora 20 clients.</div>
        <div><br>
        </div>
        <div>When I configure sudo with the !authenticate option,
          everything works fine.</div>
        <div>ie 'sudo journalctl' works fine, you get to see the logs</div>
        <div><br>
        </div>
        <div>However when I remove the !authenticate option the sudo
          command asks for a password but it always fails.</div>
        <div><br>
        </div>
        <div>In the logs it says that authentication succes</div>
        <div>but it is followed by the line access denied.</div>
        <div><br>
        </div>
        <div>What could be causing this ?</div>
        <div><br>
        </div>
        <div>Rob</div>
        <div><br>
        </div>
      </div>
      <br>
      <fieldset></fieldset>
      <br>
    </blockquote></div></div>
    Probably access control. Do you have HBAC rules defined? Do they
    allow user to do sudo operations?<span class=""><font color="#888888"><br>
    <br>
    <pre cols="72">-- 
Thank you,
Dmitri Pal

Sr. Engineering Manager IdM portfolio
Red Hat, Inc.</pre>
  </font></span></div>

<br>--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br></blockquote></div><br></div><div class="gmail_extra">Hello,</div><div class="gmail_extra"><br></div><div class="gmail_extra">
That was indeed preventing the access without the !noathenticate.</div><div class="gmail_extra"><br></div><div class="gmail_extra">I've added sudo to the hbac and now it works.</div><div class="gmail_extra"><br></div>
<div class="gmail_extra">Thanx.</div><div class="gmail_extra">Rob</div></div>