<div dir="ltr"><div><div>So I went ahead and ran the migrate-ds command; ran into issue that was described here: <a href="https://www.redhat.com/archives/freeipa-users/2015-March/msg00398.html">https://www.redhat.com/archives/freeipa-users/2015-March/msg00398.html</a> when trying to change password<br></div><br></div>I re-ran migrate-ds option; but I actually don't see the user accounts being migrated at all when I run a "ipa user-show user_name --all"<br><br><div>I supposed manual option/script is the only option at this point?<br><br></div><div>Anthony<br></div><div><br><div><div><div class="gmail_quote"><div dir="ltr">On Mon, Apr 25, 2016 at 1:06 PM Anthony Cheng <<a href="mailto:anthony.wan.cheng@gmail.com">anthony.wan.cheng@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div><div><div><div>Hi list,<br><br></div>Currently in the midst of doing a migration of FreeIPA from v3.0.0 to v4.2.0; I have setup the new IPA instances and I am looking at migrate the data.<br><br></div>Based on the section under 'Migrating from other FreeIPA to FreeIPA' here (<a href="http://www.freeipa.org/page/Howto/Migration#Migrating_existing_FreeIPA_deployment" target="_blank">http://www.freeipa.org/page/Howto/Migration#Migrating_existing_FreeIPA_deployment</a>), it is suggested to run the following sample command:<br><br>echo Secret123 | ipa migrate-ds --bind-dn="cn=Directory Manager" --user-container=cn=users,cn=accounts --group-container=cn=groups,cn=accounts --group-objectclass=posixgroup --user-ignore-attribute={krbPrincipalName,krbextradata,krblastfailedauth,krblastpwdchange,krblastsuccessfulauth,krbloginfailedcount,krbpasswordexpiration,krbticketflags,krbpwdpolicyreference,mepManagedEntry} --user-ignore-objectclass=mepOriginEntry --with-compat ldap://migrated.freeipa.server.test<br><br></div>My questions are:<br></div>1) Will this work as my new domain has changed (so realm is different)<br>2) Will this work for migration from 3.0.0 to 4.2.0?<br>3) Is this command safe to run from a production box?<br></div>4) If it fails or is not safe to run, what is the alternative/process? (details would be appreciated)<br></div></div></div><div><div><div><br>Also on the same link, it mentions that "other objects (SUDO, HBAC, DNS, ...) have to be  migrated manually, by 
exporting the LDIF from old FreeIPA instance, selecting the records to 
be migrated, updating the attributes in batch (e.g. new realm) and 
adding the cleaned LDIF to new FreeIPA."
<br><br>I have some idea how to do LDIF import/export but is this process documented anywhere (on the <a href="http://freeipa.org" target="_blank">freeipa.org</a>)?<br><br></div><div>Thanks, Anthony<br></div></div></div></div><div dir="ltr">-- <br></div><p dir="ltr">Thanks, Anthony</p>
</blockquote></div></div></div></div></div><div dir="ltr">-- <br></div><p dir="ltr">Thanks, Anthony</p>