<div dir="ltr"><div><div><div><div><div><div>I must have made an error again:<br><br>- ipa hbactest gives seemingly correct answer on both server and client<br></div><div>- user can't actually use sudo on client?<br></div><div><br></div><div>Centos 7, freeipa 4.2.o/2.156; sssd 1.14.1 from COPR<br></div><div><br></div>From the server:<br><br>[root@vmdv-linuxidm1 ~]# ipa hbactest --user=<a href="mailto:lsimpson@petermac.org.au">lsimpson@petermac.org.au</a> --host=<a href="http://vmts-linuxclient1.unixdev.petermac.org.au">vmts-linuxclient1.unixdev.petermac.org.au</a> --service=sudo<br>--------------------<br>Access granted: True<br>--------------------<br>  Matched rules: Cluster Admin Users (sudo)<br>  Not matched rules: Cluster Users<br>[root@vmdv-linuxidm1 ~]# <br><br><br></div>From the host in question:<br><br>[root@vmts-linuxclient1 ~]# ipa hbactest --user <a href="mailto:lsimpson@petermac.org.au">lsimpson@petermac.org.au</a> --host `hostname` --service sudo<br>--------------------<br>Access granted: True<br>--------------------<br>  Matched rules: Cluster Admin Users (sudo)<br>  Not matched rules: Cluster Users<br>[root@vmts-linuxclient1 ~]# <br><br><br>[lsimpson@petermac.org.au@vmts-linuxclient1 ~]$ sudo reboot<br>[sudo] password for <a href="mailto:lsimpson@petermac.org.au">lsimpson@petermac.org.au</a>: <br><a href="mailto:lsimpson@petermac.org.au">lsimpson@petermac.org.au</a> is not allowed to run sudo on vmts-linuxclient1.  This incident will be reported.<br><br><br></div>On the client, in the sssd_sudo.log I can see (debug_level=6) a number of lines, most notably three that start "Searching sysdb with" and then follow with all my ipa and AD groups - both groups that would give me HBAC sudo are listed in those log entries. <br><br></div>What should I try next?<br><br></div>cheers<br></div>L.<br><div><div><div><div><br><br><br clear="all"><div><div><div><div><div class="gmail_signature"><div dir="ltr"><div>------<br>The most dangerous phrase in the language is, "We've always done it this way."<br><br>- Grace Hopper<br></div></div></div></div>
</div></div></div></div></div></div></div></div>