<div dir="ltr"><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">Hi,</div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">I'm using FreeIPA 4.1.4 with nss-pam-ldapd and the compat schema. </div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">I'm thinking of moving sudo rules to IPA and with <i>ou=sudoers</i> and sudo-ldap this works. </div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">In our setup we have lot of rules with wildcard matching for sudo hostnames. For ex webserver*, dbserver* etc. </div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">In the IPA UI, when I try to add the hostname with wildcard (*) char I get an error from UI. * is not allowed char. </div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default"><span style="font-family:'trebuchet ms',sans-serif">Looks like the UI is trying to validate the hostname using </span><font face="monospace, monospace">validate_dns_label</font><font face="trebuchet ms, sans-serif"> in </font><font face="monospace, monospace">ipa/util.py</font><font face="trebuchet ms, sans-serif"> and obviously * is not one of the allowed chars. </font></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">Taking a look at the documentation of sudo, wildcards are pretty widely used. More info here <a href="https://www.sudo.ws/man/1.8.15/sudoers.man.html#x57696c646361726473">https://www.sudo.ws/man/1.8.15/sudoers.man.html#x57696c646361726473</a> </div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">Other than editing the LDAP schema outside of IPA (this will work) what are the other options to solve this ?</div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">Thanks.</div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">--Prashant</div></div>