<html>
<head>
<style>
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Verdana
}
</style>
</head>
<body class='hmmessage'>
Rich hello and thanks for your support.<BR>
 <BR>
One last question for an former redhat colleague of yours:<BR>
 <BR>
'Do we know when this BUG will be fixed' ?<BR>
 <BR>
Thanks again, Dave<BR>
----------<BR><BR>> Date: Mon, 8 Dec 2008 08:07:50 -0700<BR>> From: rmeggins@redhat.com<BR>> To: lambam80@hotmail.com<BR>> CC: fedora-directory-users@redhat.com<BR>> Subject: Re: [Fedora-directory-users] 'Account Disabled' Windows Sync - only sync passwords<BR>> <BR>> lambam80@hotmail.com wrote:<BR>> > Rich, hello again and thanks for all your help.<BR>> > <BR>> > This Email related to password VS account synchronization.<BR>> > <BR>> > We'll use my script to create/delete accounts thereby having an <BR>> > identical user base in<BR>> > both RedHat LDAP and Windows.<BR>> > <BR>> > Therefore, we'd like to use only the 'password' mechanism of 'Windows <BR>> > SYNC'.<BR>> > <BR>> > I can see, clearly on the RedHat LDAP server how to disable <BR>> > account/group SYNC on the windows side:<BR>> > <BR>> > - Launch console | Directory Server Configuration TAB | click on <BR>> > replication agreement | uncheck both<BR>> > New Windows Users Sync and<BR>> > New Windows Groups Sync<BR>> > <BR>> > And from the document I can read how to disable account/group SYNC on <BR>> > the LDAP side:<BR>> > <BR>> > _http://www.redhat.com/docs/manuals/dir-server/ag/8.0/Windows_Sync-Using_Windows_Sync.html#Using_Windows_Sync-Synchronizing_Users_<BR>> > <BR>> > < Setting |ntUserCreateNewAccount| and |ntUserDeleteNewAccount| on <BR>> > Directory Server entries<BR>> > < allows the Directory Manager fine-grained control over which users <BR>> > within the<BR>> > < synchronized subtree will be synched on Active Directory<BR>> > <BR>> > Is that all I need to do to disable account/group sync but retain <BR>> > password sync ?<BR>> Yes, I believe so.<BR>> > <BR>> > Thanks again for your help, Dave<BR>> > ----------<BR>> ><BR>> > > Date: Wed, 3 Dec 2008 10:56:30 -0700<BR>> > > From: rmeggins@redhat.com<BR>> > > To: lambam80@hotmail.com<BR>> > > CC: fedora-directory-users@redhat.com<BR>> > > Subject: Re: [Fedora-directory-users] 'Account Disabled' Windows <BR>> > Sync Directory Server red cross<BR>> > ><BR>> > > lambam80@hotmail.com wrote:<BR>> > > > Rich, hello and thanks for the quick reply.<BR>> > > ><BR>> > > > You write:<BR>> > > ><BR>> > > > < Yes, this appears to be a bug in windows sync<BR>> > > ><BR>> > > > How might I get further information - is there a BUG number/report ?<BR>> > > > Should I try and log a BUG ? If so, where ?<BR>> > > https://bugzilla.redhat.com/show_bug.cgi?id=470224<BR>> > > ><BR>> > > > Sorry, I'm new to Fedora/Redhat/Linux (migrating off Sun Solaris, so<BR>> > > > to speak).<BR>> > > ><BR>> > > > Anyway, I have the following work-around:<BR>> > > > - use the password sync mechanism from Redhat - I've yet to test this<BR>> > > > - next on my list<BR>> > > > - Use a script to do the following:<BR>> > > > -- create Directory Server user account<BR>> > > > -- create Active Directory account using ldapmodify and LDAPS<BR>> > > > -- set the Active Directory unicodePwd:: using ldapmodify and LDAPS<BR>> > > > -- set the Active Directory userAccountControl: 512 using ldapmodify<BR>> > > > and LDAPS. '512', I believe, 'enables' the account.<BR>> > > Yes. See also http://support.microsoft.com/kb/305144<BR>> > ><BR>> > > But if you are using WinSync, you can configure it to automatically<BR>> > > create accounts in AD when added to DS, and vice versa. So you might<BR>> > > just use<BR>> > > DirSync or sequence number to look for new AD accounts that are<BR>> > > disabled, and enable them. See<BR>> > > http://msdn.microsoft.com/en-us/library/ms677626(VS.85).aspx and<BR>> > > http://support.microsoft.com/kb/891995<BR>> > > ><BR>> > > > Thanks again for your help,<BR>> > > ><BR>> > > > Dave (former employee of iPlanet :-)<BR>> > > My condolences :-)<BR>> > > > ------------<BR>> > > ><BR>> > > > > Date: Tue, 2 Dec 2008 08:51:08 -0700<BR>> > > > > From: rmeggins@redhat.com<BR>> > > > > To: fedora-directory-users@redhat.com<BR>> > > > > CC: lambam80@hotmail.com<BR>> > > > > Subject: Re: [Fedora-directory-users] 'Account Disabled' Windows<BR>> > > > Sync Directory Server red cross<BR>> > > > ><BR>> > > > > lambam80@hotmail.com wrote:<BR>> > > > > > Firstly, please accept my apologies for a white lie.<BR>> > > > > > I'm, in fact, using CentOS but a colleague of mine recommended <BR>> > that I<BR>> > > > > > use this forum/mailing-list.<BR>> > > > > ><BR>> > > > > > Let me know if this white-lie is a problem.<BR>> > > > > ><BR>> > > > > > cat /etc/redhat-release<BR>> > > > > > CentOS release 5.2 (Final)<BR>> > > > > ><BR>> > > > > > /usr/sbin/ns-slapd -v<BR>> > > > > > CentOS-Directory/8.0.4 B2008.288.1513<BR>> > > > > ><BR>> > > > > > Windows 2003 Server Standard Edition R2<BR>> > > > > ><BR>> > > > > > I've 'successfully' configured Windows Sync and it<BR>> > > > > > works in both directions.<BR>> > > > > ><BR>> > > > > > However, accounts that are synched from Centos Directory Server to<BR>> > > > > > Active Directory are<BR>> > > > > > created with the 'Account Disabled' checkbox selected.<BR>> > > > > ><BR>> > > > > > In the Windows account administration interface<BR>> > > > > > they also have the red cross next to them.<BR>> > > > > ><BR>> > > > > > Q1. Have other people seen this behavior with Windows Sync ?<BR>> > > > > Yes, this appears to be a bug in windows sync<BR>> > > > > ><BR>> > > > > > Q2. How can I change this behavior and have the<BR>> > > > > > windows-accounts enabled from the start ?<BR>> > > > > Not sure.<BR>> > > > > ><BR>> > > > > > Thanks for your time, cheers lambam80<BR>> > > > > > Active-Directory Active-Dir Active Dir Active Directory<BR>> > > > > > Edit/Delete Message<BR>> > > > > > <http://forums.fedoraforum.org/editpost.php?do=editpost&p=1122288><BR>> > > > > ><BR>> > > > > ><BR>> > > > <BR>> > ------------------------------------------------------------------------<BR>> > > > > ><BR>> > > > > ><BR>> > > > <BR>> > ------------------------------------------------------------------------<BR>> > > > > ><BR>> > > > > ><BR>> > > > <BR>> > ------------------------------------------------------------------------<BR>> > > > > ><BR>> > > > > > --<BR>> > > > > > Fedora-directory-users mailing list<BR>> > > > > > Fedora-directory-users@redhat.com<BR>> > > > > > https://www.redhat.com/mailman/listinfo/fedora-directory-users<BR>> > > > > ><BR>> > > > ><BR>> > > ><BR>> > > ><BR>> > > > <BR>> > ------------------------------------------------------------------------<BR>> > > > Win a trip with your 3 best buddies. Enter today.<BR>> > > > <http://www.messengerbuddies.ca/?ocid=BUDDYOMATICENCA19><BR>> > ><BR>> ><BR>> ><BR>> > ------------------------------------------------------------------------<BR>> > Visit messengerbuddies.ca to find out how you could win. Enter today. <BR>> > <http://www.messengerbuddies.ca/?ocid=BUDDYOMATICENCA20><BR>> <BR><BR><br /><hr />Messenger wants to send you on a trip. <a href='http://www.messengerbuddies.ca/?ocid=BUDDYOMATICENCA21' target='_new'>Enter today.</a></body>
</html>