<div dir="ltr"><div><div>Sorry for not defining the question.<br><br></div>The question for this is: Are sudo rules supposed to be inherited in the same manner as HBAC rules? <br><br></div>From the case above, all my HBAC rules are working fine with indirect membership, but sudo only works with direct membership. I also saw the Tech preview SSSD packages for RHEL 6.8. I tried those too and verified that the issue is still present. <br><br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 27, 2016 at 9:36 AM, sysadmin ofdoom <span dir="ltr"><<a href="mailto:nix125432512689712@gmail.com" target="_blank">nix125432512689712@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div><div><div>I am trying to implement FreeIPA in a larger environment. Due to the complexity of the environment I've been constructing a user group structure such that i have groups at the following levels:<br><br></div>project --> project_at_site --> project_site_vendor<br><br></div>HBAC rules are defined at the lowest level (vendor at site) and associated with a host group at the same level. <br><br></div>Each of the above user group levels will have a corresponding sudo group. (Used to provide a vendor access to servers  the vendor supports at a specific site at a moments notice)<br><br></div>HBAC rules are propagating up the chain correctly. <br><br></div>When a user is added to a top level group (e.g. project or project-sudo) the indirect membership shows up for both Sudo and HBAC rules. <br><br></div>The problem is that I can't get the sudo privileges to work when the user shows indirect membership for the sudo rule. If i make the user a direct member of the sudo rule, i can use sudo. <br><br></div><div>As I've looked at debug logs, i was able to see that the query used when i was identical when i was successful at using sudo and when i i got denied. The difference is  the failure would have a message like [sudosrv_get_sudorules_from_cache] (0x0400): Returning 1 rules for [<a href="mailto:user@example.com" target="_blank">user@example.com</a>]  The successes returned 2 rules. <br><br></div><div>The only change made between the success and failure was making the user a direct member of the sudo rule where the failure was an indirect member. <br><br></div><div>Thanks for any help!<br></div><div><br><br></div> <br><div><div><div><div><br><br></div></div></div></div></div>
</blockquote></div><br></div>