<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Aug 12, 2016 at 3:53 PM, Justin Stephenson <span dir="ltr"><<a href="mailto:jstephen@redhat.com" target="_blank">jstephen@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    <p>In the CentOS/RHEL 7 version of sssd, a NIS netgroup is created
      automatically in the IPA compat tree under
      'cn=ng,cn=compat,$suffix' because sudo has no understanding of
      hostgroups.</p>
    <p>You should be able to query this on a client with <br>
    </p>
    <p>      # getent netgroup office</p>
    <p>This should return nisNetgroupTriple for each host in the
      hostgroup<br>
    </p>
    <p>     (<a href="http://ipa-client-1.example.com" target="_blank">ipa-client-1.example.com</a>,-,<a href="http://example.com" target="_blank">ex<wbr>ample.com</a>)
      (<a href="http://ipa-client-2.example.com" target="_blank">ipa-client-2.example.com</a>,-,<a href="http://example.com" target="_blank">ex<wbr>ample.com</a>)</p>
    <p>I would check this in your environment between working and
      non-working systems.<br>
    </p>
    <p>I believe in later versions of sssd they added IPA sudo schema
      support to eliminate the need for the compat tree so this could be
      related to the issue if newer ubuntu clients are not working but
      CentOS is working.</p>
    <p>What version of sssd are you running?<br>
    </p>
    <p>Kind regards,</p>
    <p>Justin Stephenson<br>
    </p>
    <div>On 08/12/2016 02:35 PM, Jeff Goddard
      wrote:<br>
    </div>
    <blockquote type="cite">
      <div dir="ltr">
        <div>I made the edit as suggested - removing nis and just
          leaving sss - restarted sssd and then re-tried. I also tried
          with files sss. Still getting the same result.<br>
          <br>
        </div>
        <div>Thanks,<br>
        </div>
        <div><br>
        </div>
        Jeff<br>
        <div class="gmail_extra"></div></div></blockquote></div></blockquote></div>The query returns the expect results:<br><br> getent netgroup office<br>office                (<a href="http://docker-dev-01.internal.emerlyn.com">docker-dev-01.internal.emerlyn.com</a>,-,<a href="http://internal.emerlyn.com">internal.emerlyn.com</a>) (<a href="http://docker-dev-02.internal.emerlyn.com">docker-dev-02.internal.emerlyn.com</a>,-,<a href="http://internal.emerlyn.com">internal.emerlyn.com</a>) (<a href="http://docker-dev-03.internal.emerlyn.com">docker-dev-03.internal.emerlyn.com</a>,-,<a href="http://internal.emerlyn.com">internal.emerlyn.com</a>) [more hosts]<br><br></div><div class="gmail_extra">sssd version is 1.13.4<br><br></div><div class="gmail_extra">Jeff<br></div><div class="gmail_extra"><br><br><br></div></div>