<div dir="ltr">Cool.  That solved the problem. Thanks</div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 10, 2016 at 9:37 PM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Thu, Mar 10, 2016 at 03:50:08PM +1300, Teik Hooi Beh wrote:<br>
> Hi,<br>
><br>
> I am trying to deploy sudo rules in FreeIPA 4.2 on Centos 7.2. I have<br>
> created 2 sudo rules, one with sudo options=!authenticate (NOPASSWD) and<br>
> the other sudo options=authenticate (PASSWD) (which I assume requires the<br>
> user to key in the password to run).<br>
><br>
> The NOPASSWD works but the one with PASSWD kept denying eventhough password<br>
> seems authenticated (from /var/log/secure) -<br>
><br>
> Mar 10 02:38:31 node1 sudo: pam_sss(sudo:auth): authentication success;<br>
> logname=ttester uid=5001 euid=0 tty=/dev/pts/1 ruser=ttester rhost=<br>
> user=ttester<br>
> Mar 10 02:38:31 node1 sudo: pam_sss(sudo:account): Access denied for user<br>
> ttester: 6 (Permission denied)<br>
><br>
> I have followed instructions from here -<br>
> <a href="http://blog.delouw.ch/2013/07/25/centrally-manage-sudoers-rules-with-ipa-part-i-preparation/" rel="noreferrer" target="_blank">http://blog.delouw.ch/2013/07/25/centrally-manage-sudoers-rules-with-ipa-part-i-preparation/</a><br>
<br>
</div></div>Looks like HBAC is denying access, please make sure the user is allowed<br>
to access the sudo/sudo-i service.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div>