<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Dec 7, 2014 at 3:44 PM, Gianluca Cecchi <span dir="ltr"><<a href="mailto:gianluca.cecchi@gmail.com" target="_blank">gianluca.cecchi@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr">Hello,<div>I'm quite near to have users and groups working using ipa 3.3 as in CentOS 7 as this gives ability to do binds against compat tree.</div><div>This is with the use of schema compatibility</div><div><br></div><div>The last step I need is getting components of groups so that vSphere con enforce group membership permission over user set.</div><div><br></div><div>The query from vsphere after my modifications when it searches for users belonging to groups is sort of</div><div><br></div><div>ldapsearch -x -b "cn=groups,cn=compat,dc=localdomain,dc=local" "(&(objectClass=groupOfUniqueNames)(uniqueMember=uid=gcecchi,cn=users,cn=compat,dc=localdomain,dc=local))"<br></div><div><br></div><div>so I provided ldif modification for cn=groups, cn=compat this way</div><div><br></div><div><div>schema-compat-entry-attribute: uniqueMember=%{member}</div></div><div><br></div><div>but this produces somthing like this when I query for example a created group named esxpower to be used for power users</div><div><br></div><div><div># esxpower, groups, compat, localdomain.local</div><div>dn: cn=esxpower,cn=groups,cn=compat,dc=localdomain,dc=local</div><div>objectClass: posixGroup</div><div>objectClass: groupOfUniqueNames</div><div>objectClass: top</div><div>gidNumber: 1639600006</div><div>memberUid: gcecchi</div><div>memberUid: vadmin</div><div>uniqueMember: uid=gcecchi,cn=users,cn=accounts,dc=localdomain,dc=local</div><div>uniqueMember: uid=vadmin,cn=users,cn=accounts,dc=localdomain,dc=local</div><div>cn: esxpower</div></div><div><br></div><div>so the problem is I have to change the entry</div><div>schema-compat-entry-attribute: uniqueMember=%{member}<br></div><div><br></div><div>with a sort of function that gives cn=compat instead of cn=accounts in the line</div><div>uniqueMember: uid=gcecchi,cn=users,cn=accounts,dc=localdomain,dc=local<br></div><div><br></div><div>I read also /usr/share/doc/slapi-nis-0.52/format-specifiers.txt</div><div>but I didn't come to a sort of "substitute" function so that I can change %{member} with the same but with "compat" word instead of "accounts"</div><div><br></div><div>I plan to detail all my steps once I can accomplish this.</div><div><br></div><div>Thanks in advance,</div><div><br></div><div>Gianluca</div><div><br></div></div></blockquote><div><br></div><div><br></div><div>Tried with</div><div>schema-compat-entry-attribute: uniqueMember=%regsub("%{member}","^(.*)accounts(.*)","%1compat%2")</div><div> </div><div>but it seems it works with some groups (the system groups) but not with the other ones I have created...</div><div><br></div><div><div>ldapsearch -x -b "cn=groups,cn=compat,dc=localdomain,dc=local"</div></div><div><br></div></div></div><div class="gmail_extra">gives</div><div class="gmail_extra"><br></div><div class="gmail_extra"># admins, groups, compat, localdomain.local<br></div><div class="gmail_extra"><div class="gmail_extra">dn: cn=admins,cn=groups,cn=compat,dc=localdomain,dc=local</div><div class="gmail_extra">objectClass: posixGroup</div><div class="gmail_extra">objectClass: groupOfUniqueNames</div><div class="gmail_extra">objectClass: top</div><div class="gmail_extra">gidNumber: 1639600000</div><div class="gmail_extra">memberUid: admin</div><div class="gmail_extra">uniqueMember: uid=admin,cn=users,cn=compat,dc=localdomain,dc=local</div><div class="gmail_extra">cn: admins</div><div class="gmail_extra"><br></div><div class="gmail_extra"><br></div><div class="gmail_extra">but in esxpower group I see only the memberUid entry and not the uniqueMember entry</div><div class="gmail_extra"><br></div><div class="gmail_extra"><div class="gmail_extra"># esxpower, groups, compat, localdomain.local</div><div class="gmail_extra">dn: cn=esxpower,cn=groups,cn=compat,dc=localdomain,dc=local</div><div class="gmail_extra">objectClass: posixGroup</div><div class="gmail_extra">objectClass: groupOfUniqueNames</div><div class="gmail_extra">objectClass: top</div><div class="gmail_extra">gidNumber: 1639600006</div><div class="gmail_extra">memberUid: gcecchi</div><div class="gmail_extra">memberUid: vadmin</div><div class="gmail_extra">cn: esxpower</div><div><br></div><div>Gianluca</div><div><br></div><div><br></div></div></div></div>