<html><head></head><body>I agree with Simo. As far as I understand I dont have a way around this but to change the source. Ok for me but perhaps a bit much for others...<br>
<br>
Btw, I haven't had time to test the proposed source changes.<br>
<br>
<br>
Rgds,<br>
Siggi<br>
-- <br>
Sent from my Android phone with K-9 Mail. Please excuse my brevity.<br><br><div class="gmail_quote">Simo Sorce <simo@redhat.com> wrote:<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<pre style="white-space: pre-wrap; word-wrap:break-word; font-family: sans-serif">On Mon, 2012-01-30 at 10:56 -0500, Rob Crittenden wrote:<br />> Dmitri Pal wrote:<br />> > On 01/30/2012 09:23 AM, Simo Sorce wrote:<br />> >> On Mon, 2012-01-30 at 09:06 -0500, Rob Crittenden wrote:<br />> >>> Like I said, this  error is triggered before ignore is evaluated so<br />> >>> if<br />> >>> an unknown binary attribute is getting decoded it will cause this<br />> >>> failure. The only solutions we have right now is to either load the<br />> >>> schema into IPA temporarily for the migration, rremove it on the<br />> >>> remote<br />> >>> side or you could modify the query we make to find the remote entries<br />> >>> to<br />> >>> pull only certain attributes. This last one would be tricky to get<br />> >>> right.<br />> >>><br />>
>>> The code looks like:<br />> >>><br />> >>>                   (entries, truncated) = ds_ldap.find_entries(<br />> >>>                       search_filter, ['*'],<br />> >>> search_bases[ldap_obj_name],<br />> >>>                       ds_ldap.SCOPE_ONELEVEL,<br />> >>>                       time_limit=0, size_limit=-1,<br />> >>>                       search_refs=True    # migrated DS may contain<br />> >>> search references<br />> >>>                   )<br />> >>><br />> >>> You'd want to replace ['*'] with ['attr1','attr2','attr3',...]. It<br />> >>> would<br />> >>> be a rather long list and would need to cover both users and groups.<br />> >>><br />> >> TBH I think we should turn the code around and do this by default.<br />> >> We have no idea how to manage extra attributes a
 nyway
so we shouldn't<br />> >> get them all, only get those we understand. And turn the exclusion list<br />> >> into an inclusion list, so that if someone wants to import more data<br />> >> because they added additional schema to FreeIPA they are free to do so.<br />> >> The current way looks brittle.<br />> >><br />> >> Simo.<br />> >><br />> > Agree, we need to open a BZ and ticket on this one.<br />> ><br />> <br />> Oh I don't know. The reason we did it this way was to specifically put <br />> into the user's face those attributes that aren't being migrated. This <br />> way we don't find out much after the fact that some things weren't <br />> migrated properly forcing them to re-migrate. I'd certainly rather have <br />> a little pain at the beginning of the process and know I have everything <br />> I need rather than days/weeks/months later and realize something <br />> imp
 ortant
was missed.<br /><br />I understand the intent, but I think the current method causes more pain<br />then necessary.<br />If admins have important data they want to preserve they better<br />explicitly include it in the import list. And check the data was<br />properly imported.<br /><br />I do not think we need to make life of good admins difficult in order to<br />try to salvage bad admins that do not even check the migration imported<br />all data they needed.<br /><br />Simo.<br /><br />-- <br />Simo Sorce * Red Hat, Inc * New York<br /><br /><hr /><br />Freeipa-users mailing list<br />Freeipa-users@redhat.com<br /><a href="https://www.redhat.com/mailman/listinfo/freeipa-users">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br /></pre></blockquote></div></body></html>