<div dir="ltr">Thank you for the quick reply and a solution.<div><br></div><div>I will try it in the next couple of days. </div><div><br></div><div>Regards,</div><div>Gašper</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 1, 2015 at 2:51 PM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 12/01/2015 02:41 PM, Simo Sorce wrote:<br>
> On Tue, 2015-12-01 at 12:57 +0100, Martin Kosek wrote:<br>
>> On 11/30/2015 02:25 PM, Gašper Bregar wrote:<br>
>>> I have been strugling with FreeIPA and AD password sync for a couple of<br>
>>> days now. At first everything was working fine, but then all of a sudden<br>
>>> the synchronization started to fail for me and another user.<br>
>>><br>
>>> The error in passsync log was<br>
>>><br>
>>> Ldap error in ModifyPassword<br>
>>>> 50: Insufficient access<br>
>>><br>
>>><br>
>>> It took me some time to figure out that it was failing just for the two us.<br>
>>> It was failing because we were in the admin user group in FreeIPA. Is this<br>
>>> intentional? Is it possible to somehow change this behaviour with a<br>
>>> setting?<br>
>>><br>
>>> Regards,<br>
>>> Gašper<br>
>><br>
>> Hello Gašper,<br>
>><br>
>> I assume you are running with FreeIPA version 4.0 and above. At the moment,<br>
>> this is expected behavior, based on the permission configuration:<br>
>><br>
>>         'System: Change User password': {<br>
>>             'ipapermright': {'write'},<br>
>>             'ipapermtargetfilter': [<br>
>>                 '(objectclass=posixaccount)',<br>
>>                 '(!(memberOf=%s))' % DN('cn=admins',<br>
>>                                         api.env.container_group,<br>
>>                                         api.env.basedn),<br>
>>             ],<br>
>>             'ipapermdefaultattr': {<br>
>>                 'krbprincipalkey', 'passwordhistory', 'sambalmpassword',<br>
>>                 'sambantpassword', 'userpassword'<br>
>>             },<br>
>> ...<br>
>>             'default_privileges': {<br>
>>                 'User Administrators',<br>
>>                 'Modify Users and Reset passwords',<br>
>>                 'PassSync Service',<br>
>>             },<br>
>>         },<br>
>><br>
>><br>
>> "PassSync Service" cannot indeed change passwords of admins group. I am<br>
>> wondering if we want to change the default, which was added so that lower-level<br>
>> administrators cannot change password of top level admins and impersonate them<br>
>> for example. Simo, any opinion?<br>
><br>
> We do not want to change the default behavior.<br>
><br>
> Simo.<br>
<br>
</div></div>Ok. I requested a Doc update:<br>
<a href="https://bugzilla.redhat.com/show_bug.cgi?id=1287092" rel="noreferrer" target="_blank">https://bugzilla.redhat.com/show_bug.cgi?id=1287092</a><br>
<br>
Please feel free to comment in Bugzilla.<br>
<span class="HOEnZb"><font color="#888888"><br>
Martin<br>
</font></span></blockquote></div><div><br></div>
</div></div>