<div dir="ltr"><div><div><div>Hi<br><br></div><div>Thanks for the feedback.<br></div><div><br></div>It seems the attributeType was already there. Nevertheless I tried your suggested fix but I did not help.<br><br></div>ipa config-show and likewise the UI does not show SELinux related settings.<br>
<br>Regards<br><br></div>John<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, May 7, 2013 at 11:51 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">John Blaut wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi<br>
<br>
We found out recently that an IPA server which we upgraded some time ago<br>
from EL6.2/IPA 2.1 to EL6.3/IPA 2.2, reported the following errors:<br>
<br>
ERROR Update failed: Object class violation: attribute<br>
"ipaSELinuxUserMapOrder" not allowed<br>
ERROR Upgrade failed with attribute "idnsAllowQuery" not allowed<br>
<br>
The latter error we resolved by applying the patch found @<br>
<a href="https://fedorahosted.org/freeipa/ticket/2440" target="_blank">https://fedorahosted.org/<u></u>freeipa/ticket/2440</a> (in fact we used this fix<br>
on another server in the past).<br>
<br>
Unfortunately we do not have a solution for the first error (related to<br>
ipaSELinuxUserMapOrder). Any ideas?<br>
<br>
We do have plans to upgrade the mentioned server to EL 6.4 / IPA 3.0,<br>
but I doubt this would be safe to do before we resolve the above error<br>
first.<br>
</blockquote>
<br></div></div>
Updating might be fine, but it shouldn't be too hard to fix first.<br>
<br>
I'd start by getting the current schema:<br>
<br>
ldapsearch -x -b cn=schema objectclasses attributetypes > /path/to/some/file<br>
<br>
See if ipaSELinuxUserMapOrder is defined as an attributeType.<br>
<br>
It looks like there is an error in the update file that adds this attribute, so it may not be there. Look in /usr/share/ipa/updates/10-<u></u>selinuxusermap.update and you'll see this line duplicated:<br>
<br>
     X-ORIGIN 'IPA v3')<br>
<br>
If so, I'd try to remove the extra line and run:<br>
<br>
ipa-ldap-updater /usr/share/ipa/updates/10-<u></u>selinuxusermap.update<br>
<br>
That should fix it.<span class="HOEnZb"><font color="#888888"><br>
<br>
rob<br>
</font></span></blockquote></div><br></div>