<br><br><div class="gmail_quote">On Mon, Mar 19, 2012 at 1:43 PM, Simo Sorce <span dir="ltr"><<a href="mailto:simo@redhat.com">simo@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="HOEnZb"><div class="h5">On Sun, 2012-03-18 at 18:33 +0100, Marco Pizzoli wrote:<br>
><br>
><br>
> On Sun, Mar 18, 2012 at 5:49 PM, Dmitri Pal <<a href="mailto:dpal@redhat.com">dpal@redhat.com</a>> wrote:<br>
>         On 03/17/2012 07:36 AM, Marco Pizzoli wrote:<br>
>         > Hi guys,<br>
>         > I'm trying to migrate my ldap user base to freeipa. I'm<br>
>         > using the last Release Candidate.<br>
>         ><br>
>         > I already changed "ipa config-mod --enable-migration=TRUE"<br>
>         > This is what I have:<br>
>         ><br>
>         > ipa -v migrate-ds<br>
>         > --bind-dn="cn=manager,dc=mydc1,dc=<a href="http://mydc2.it" target="_blank">mydc2.it</a>"<br>
>         > --user-container="ou=people,dc=mydc1,dc=<a href="http://mydc2.it" target="_blank">mydc2.it</a>"<br>
>         > --user-objectclass=inetOrgPerson<br>
>         > --group-container="ou=groups,dc=mydc1,dc=<a href="http://mydc2.it" target="_blank">mydc2.it</a>"<br>
>         > --group-objectclass=posixGroup<br>
>         > --base-dn="dc=mydc1,dc=<a href="http://mydc2.it" target="_blank">mydc2.it</a>" --with-compat ldap://ldap01<br>
>         > ipa: INFO: trying <a href="https://freeipa01.unix.mydomain.it/ipa/xml" target="_blank">https://freeipa01.unix.mydomain.it/ipa/xml</a><br>
>         > Password:<br>
>         > ipa: INFO: Forwarding 'migrate_ds' to server<br>
>         > u'<a href="http://freeipa01.unix.mydomain.it/ipa/xml" target="_blank">http://freeipa01.unix.mydomain.it/ipa/xml</a>'<br>
>         > ipa: ERROR: Container for group not found at<br>
>         > ou=groups,dc=mydc1,dc=<a href="http://mydc2.it" target="_blank">mydc2.it</a><br>
>         ><br>
>         > I looked at my ldap server logs and I found out that the<br>
>         > search executed has scope=1. Actually both for users and<br>
>         > groups. This is a problem for me, in having a lot of<br>
>         > subtrees (ou) in which my users and groups are. Is there a<br>
>         > way to manage this?<br>
>         ><br>
>         > Thanks in advance<br>
>         > Marco<br>
>         ><br>
>         > P.s. As a side note, I suppose there's a typo in the verbose<br>
>         > message I obtain in my output:<br>
>         > ipa: INFO: Forwarding 'migrate_ds' to server<br>
>         > u'<a href="http://freeipa01.unix.mydomain.it/ipa/xml" target="_blank">http://freeipa01.unix.mydomain.it/ipa/xml</a>'<br>
><br>
><br>
>         Please open tickets for both issues.<br>
><br>
><br>
> Done:<br>
> <a href="https://fedorahosted.org/freeipa/ticket/2547" target="_blank">https://fedorahosted.org/freeipa/ticket/2547</a><br>
> <a href="https://fedorahosted.org/freeipa/ticket/2546" target="_blank">https://fedorahosted.org/freeipa/ticket/2546</a><br>
><br>
> Do you have a hint on how to manage to do this import in the meantime?<br>
> Every manual step is ok for me.<br>
<br>
</div></div>Maybe you can try performing a new migration for each of the subtrees<br>
you have in your source tree, assuming it is a reasonable number, by<br>
reconfiguring the migrate-ds bases between each run.<br></blockquote><div><br>Yes, I was thinking the same... :-)<br>To be able to script "ipa migrate-ds", I would need a parameter for setting the password on the CLI. I suppose it isn't there by design, right?<br>

<br>Thanks again<br>Marco<br></div></div><br>