<div dir="ltr">Hi Dmitri!<div><br></div><div>ldapsearch was exactly the pointer I needed! My entries had objectClass=extensibleObject, which, as soon as I removed via:</div><div>ipa user-mod ldaptest --delattr objectclass=extensibleobject</div><div><br></div><div>i'm able to edit!</div><div><br></div><div>Thanks so much for the help!</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 5, 2014 at 11:33 AM, Dmitri Pal <span dir="ltr"><<a href="mailto:dpal@redhat.com" target="_blank">dpal@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000"><div><div class="h5">
    <div>On 11/05/2014 10:19 AM, Steve Nolen
      wrote:<br>
    </div>
    <blockquote type="cite">
      <div dir="ltr">Hi All!
        <div><br>
        </div>
        <div>I'm looking at migrating from openldap to freeipa
          (currently using 3.3.3 on centos7, installed from the default
          centos repos, as I'd prefer to use centos over fedora) and I
          have a bit of a snag after importing users with migration-ds:
          I can't edit the details of migrated users in the web ui (but
          I can via `ipa user-mod`).</div>
        <div><br>
        </div>
        <div>Steps to reproduce:</div>
        <div>1. kinit admin</div>
        <div>2. ipa config-mod --enable-migration=TRUE</div>
        <div>3. ipa migrate-ds --base-dn='dc=example,dc=com'
          --user-container='ou=People' --group-container='ou=Group'
          --bind-dn='cn=admin' --with-compat --schema='RFC2307'</div>
        <div>4. ipa config-mod --enable-migration=FALSE</div>
        <div>5. ipa user-mod test1 --last=LastName1 (success)</div>
        <div>6. visit web ui (logging in as admin), user test1 has
          "LastName1" as "last name" field, but no fields on this page
          are editable.</div>
        <div>7. create new user via web ui "test2".</div>
        <div>8. all fields are editable for user test2.</div>
        <div><br>
        </div>
        <div>Based on the success from step 5, it would appear that the
          admin user has the rights to modify test1's details, but the
          web ui disagrees?</div>
        <div><br>
        </div>
        <div>Thanks!</div>
        <div>Steve</div>
      </div>
      <br>
      <fieldset></fieldset>
      <br>
    </blockquote></div></div>
    Can you please do an ldap search and get the full entry for one of
    the migrated users and one for the one of the created users.<br>
    You might also try --raw flag and use user-show command.<br>
    I suspect the migrated entries are missing some attribute. If you
    can help us to identify which one would be great.<span class="HOEnZb"><font color="#888888"><br>
    <br>
    <pre cols="72">-- 
Thank you,
Dmitri Pal

Sr. Engineering Manager IdM portfolio
Red Hat, Inc.</pre>
  </font></span></div>

<br>--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br></blockquote></div><br></div>