<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Mar 5, 2015 at 8:54 AM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class=""><div class="h5"><br>
</div></div>I am also CCing Gialunca who contributed the HOWTO. I checked it again and<br>
tried to apply it on my FreeIPA 4.1.3, my compat group now contain the proper<br>
uniqueMember attribute and groupOfUniqueNames objectclass.<br>
<br>
I am not sure though why are also users updated (mostly question to Gialunca):<br>
dn: cn=users,cn=Schema Compatibility,cn=plugins,cn=config<br>
changetype: modify<br>
add: schema-compat-entry-attribute<br>
schema-compat-entry-attribute: objectclass=uniqueMember<br>
-<br>
add: schema-compat-entry-attribute<br>
schema-compat-entry-attribute: objectclass=inetOrgPerson<br>
-<br>
<br>
For instance, "uniqueMember" is not valid objectclass. Also, if you are adding<br>
iNetOrgPerson objectclass, you should have all it's MUST attributes also<br>
generated - otherwise consuming programs may break if they depend on such<br>
attributes to exist. I see that "sn" is missing in my compat user entries.<br>
<br>
Can you show the "cn=groups,cn=Schema Compatibility,cn=plugins,cn=config" entry<br>
so that we can see if the uniqueMember attribute is really configured correctly?<br>
<br>
Thanks,<br>
Martin<br>
</blockquote></div><br></div><div class="gmail_extra"><br></div><div class="gmail_extra">users' updates were force by vSphere originated queries.</div><div class="gmail_extra">For example without adding iNetOrgPerson objectclass, when I wanted to bind a permission to a user and searched for users in vSPhere, I got this error</div><div class="gmail_extra"><br></div><div class="gmail_extra">05/Dec/2014:22:59:21 +0100] conn=1831 op=34 SRCH base="cn=users,cn=compat,dc=localdomain,dc=local" scope=2 filter="(&(objectClass=inetOrgPerson)(objectClass=inetOrgPerson))" attrs="description entryuuid givenName initials mail pwdaccountlockedtime shadowExpire sn title uid userPassword"<br></div><div class="gmail_extra"><br></div><div class="gmail_extra">So I verified that adding inetOrgPerson I was then able to add users to permissions.</div><div class="gmail_extra">Probably I have to check which are the MUST attributes for it so that we add the too</div><div class="gmail_extra"><br></div><div class="gmail_extra">As far as I understood, the use of compat was indeed to add uniqueMember that is expected to be there by vSphere, at least in 5.1</div><div class="gmail_extra"><br></div><div class="gmail_extra"> </div><div class="gmail_extra">Gianluca</div></div>