<div dir="ltr">I wanted to follow up on this. Since sudo needs to be added to sssd.conf and nsswitch.conf. Is it possible to add the options via ipa-client-install? I can do the same with chef but this seems like something that should be done with ipa?<div><br></div><div>Thank You</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 24, 2016 at 4:51 PM, Christophe TREFOIS <span dir="ltr"><<a href="mailto:christophe.trefois@uni.lu" target="_blank">christophe.trefois@uni.lu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="FR-LU" link="blue" vlink="purple">
<div>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif">Hi,<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif">Are you not missing “sudo” in [sssd] and did you restard the services on the machine? We found quite a significant cache, which sometimes
 lead to asking passwords.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif"><a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/sssd-ldap-sudo.html" target="_blank">https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/sssd-ldap-sudo.html</a><u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p>
<pre><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif">You might even have to delete </span><span lang="EN-US" style="color:black">/var/lib/sss/db/ contents and restart sssd.<u></u><u></u></span></pre>
<pre><span lang="EN-US" style="color:black"><u></u> <u></u></span></pre>
<pre><span lang="EN-US" style="color:black">Best,<u></u><u></u></span></pre>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p>
<div style="border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt">
<div>
<div style="border:none;border-top:solid #e1e1e1 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <a href="mailto:freeipa-users-bounces@redhat.com" target="_blank">freeipa-users-bounces@redhat.com</a> [mailto:<a href="mailto:freeipa-users-bounces@redhat.com" target="_blank">freeipa-users-bounces@redhat.com</a>]
<b>On Behalf Of </b>Ash Alam<br>
<b>Sent:</b> jeudi 24 mars 2016 19:50<br>
<b>To:</b> Jakub Hrozek <<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>><br>
<b>Cc:</b> <a href="mailto:freeipa-users@redhat.com" target="_blank">freeipa-users@redhat.com</a><br>
<b>Subject:</b> Re: [Freeipa-users] Freeipa Sudo / sudoers.d / nopasswd<u></u><u></u></span></p>
</div>
</div><div><div class="h5">
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<div>
<p class="MsoNormal">Based on (How to troubleshoot Sudo)<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">- Maybe i miss spoke when i said it fails completely. Rather it keeps asking for the users password which it does not accept.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">- I do not have sudo in sssd.conf<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">- I do not have sudoers: sss defined in nsswitch.conf<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">- Per Fedora/Freeipa doc (Defining Sudo), its not immediately clear if these needs to be defined<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">- If this is the case then adding them might resolve my issues.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">- for the special sudo rule(s). is there any way to track it via the gui? I am trying to keep track of all the configs so its not a blackhole for the next person.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">- This is what it looks like on the web gui<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><img width="197" height="213" style="width:2.052in;min-height:2.2187in" src="cid:image001.png@01D18617.4C329C10" alt="Inline image 1"><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">- This is what a clients sssd.conf looks like<u></u><u></u></p>
</div>
<div>
<div>
<p class="MsoNormal">[domain/xxxxx]<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">cache_credentials = True<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">krb5_store_password_if_offline = True<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">ipa_domain = pp<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">id_provider = ipa<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">auth_provider = ipa<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">access_provider = ipa<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">ipa_hostname = xxxxxx<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">chpass_provider = ipa<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">ipa_server = _srv_, xxxxx<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">ldap_tls_cacert = /etc/ipa/ca.crt<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">[sssd]<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">services = nss, pam, ssh<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">config_file_version = 2<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">domains = XXXXX<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">[nss]<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">homedir_substring = /home<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">[pam]<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">[sudo]<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">[autofs]<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">[ssh]<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">[pac]<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">[ifp]<u></u><u></u></p>
</div>
</div>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<p class="MsoNormal">On Thu, Mar 24, 2016 at 1:01 PM, Jakub Hrozek <<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>> wrote:<u></u><u></u></p>
<blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">
<p class="MsoNormal"><br>
> On 24 Mar 2016, at 17:21, Ash Alam <<a href="mailto:aalam@paperlesspost.com" target="_blank">aalam@paperlesspost.com</a>> wrote:<br>
><br>
> Hello<br>
><br>
> I am looking for some guidance on how to properly do sudo with Freeipa. I have read up on what i need to do but i cant seem to get to work correctly. Now with sudoers.d i can accomplish this fairly quickly.<br>
><br>
> Example:<br>
><br>
> %dev ALL=(ALL) NOPASSWD:/usr/bin/chef-client<br>
><br>
> What i have configured in Freeipa Sudo Rules:<br>
><br>
> Sudo Option: !authenticate<br>
> Who: dev (group)<br>
> Access this host: testing (group)<br>
> Run Commands: set of commands that are defined.<br>
><br>
> Now when i apply this, it still does not work as it asks for a password for the user and then fails. I am hoping to allow a group to only run certain commands without requiring password.<br>
><br>
<br>
You should first find out why sudo fails completely. We have this guide that should help you:<br>
<a href="https://fedorahosted.org/sssd/wiki/HOWTO_Troubleshoot_SUDO" target="_blank">https://fedorahosted.org/sssd/wiki/HOWTO_Troubleshoot_SUDO</a><br>
<br>
About asking for passwords -- defining a special sudo rule called 'defaults' and then adding '!authenticate' should help:<br>
 Add a special Sudo rule for default Sudo server configuration:<br>
   ipa sudorule-add defaults<br>
<br>
 Set a default Sudo option:<br>
   ipa sudorule-add-option defaults --sudooption '!authenticate'<u></u><u></u></p>
</blockquote>
</div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
</div></div></div>
</div>
</div>

</blockquote></div><br></div>