<br><br><div class="gmail_quote">2009/6/3 Chris St. Pierre <span dir="ltr"><<a href="mailto:stpierre@nebrwesleyan.edu">stpierre@nebrwesleyan.edu</a>></span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div><div></div><div class="h5">On Wed, 3 Jun 2009, tamarin p wrote:<br>
<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Hi,<br>
<br>
i apologize that i am revisiting this topic yet again but as we found out,<br>
double quoted distinguished names are no longer possible in 1.2.0. <br>
</blockquote>
<br></div></div>
I just ran into the same problem, actually, and found one of your old<br>
mailing list posts on it; I'd been meaning to ask about it on the<br>
mailing list, so thanks for reminding me. :)<br>
<br>
The ns-newpwpolicy.pl script creates double-quoted DNs, which are then<br>
impossible (AFAICT) to modify.  In other words, if you follow the<br>
documented procedure for creating per-user or per-subtree password<br>
policies, it doesn't work because the policy container is created with<br>
a double-quoted DN.</blockquote><div><br>yes. fedora-idm-console does the same thing if you try to use that to manage policies. <br><br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

In addition to the OP's question, what's the Right Thing to do with<br>
password policies?  Will it work if I create the policy containers by<br>
hand with the hex escape syntax?  Or do I need to create them by hand<br>
and populate them at creation time (since it's apparently still<br>
possible to _add_ entries with double-quoted DNs, just not modify<br>
them), and delete-and-recreate if I need to modify my policy?<br>
</blockquote></div><br>I dont know if this answers your question but you don't really need the container entry at all. if you create a policy manually you can call the policy entry or container anything you want or just skip the container. It wont be managable with the console then (or pl script its probably safe to assume) which may be undesirable for you, but the policy itself will work. the only requirement is to set pwdpolicysubentry=... to point to your custom policy for your your users who wont use the default in cn=config, either directly on each user or more likely for the whole subtree using CoS pointers the same way the fedora-idm-console does it when you click on a subtree and choose to create a policy there.<br>
<br>I guess you could try to create a policy with the pl script or console, then export the policy entries to LDIF and modify to use escaping instead of double quotes then readd with ldapmodify after deleting the original entries, and see if the console/script can still "see" the policy. i would actually expect this to work if "cn=foo,dc=test,dc=com",dc=test,dc=com should be considered equal with dn: cn\=foo\,dc\=test\,dc\=com,dc=test,dc=com<br>