<div dir="ltr">Alexander,<div>as per RFC2696 in such case:</div><div>---</div><div><pre style="word-wrap:break-word;white-space:pre-wrap">If the server does not support this control, the server
   MUST return an error of unsupportedCriticalExtension if the client
   requested it as critical, </pre></div><div>---</div><div>So  in case slapi-nis plugin doesn't support "paged results control", it is quite incorrect to absolutely ignore control regardless of their "criticality". To comply with RFC2696 slapi-nis plugin shall reply with "<span style="white-space:pre-wrap">unsupportedCriticalExtension" error in such cases. Am i right?</span></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">ср, 14 груд. 2016 о 18:24 Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com">abokovoy@redhat.com</a>> пише:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On ke, 14 joulu 2016, Serhii Honchar wrote:<br class="gmail_msg">
>Hello,<br class="gmail_msg">
><br class="gmail_msg">
>trying to get vSphere authenticate users using FreeIPA.<br class="gmail_msg">
>I've made scheme changes as recommended in howto<br class="gmail_msg">
><a href="http://www.freeipa.org/page/HowTo/vsphere5_integration" rel="noreferrer" class="gmail_msg" target="_blank">http://www.freeipa.org/page/HowTo/vsphere5_integration</a>.<br class="gmail_msg">
>But then faced following issue:<br class="gmail_msg">
>Vsphere using "pagedResultsControl" and sets it's criticality to "True" on<br class="gmail_msg">
>all it's requests to LDAP server:<br class="gmail_msg">
>---<br class="gmail_msg">
>Lightweight Directory Access Protocol<br class="gmail_msg">
>    LDAPMessage searchRequest(2) "cn=users,cn=compat,dc=XXX,dc=XXX"<br class="gmail_msg">
>wholeSubtree<br class="gmail_msg">
>        messageID: 2<br class="gmail_msg">
>        protocolOp: searchRequest (3)<br class="gmail_msg">
>        [Response In: 17]<br class="gmail_msg">
> *       controls: 1 item *<br class="gmail_msg">
>*            Control *<br class="gmail_msg">
>*                controlType: 1.2.840.113556.1.4.319 (pagedResultsControl) *<br class="gmail_msg">
>*                criticality: True *<br class="gmail_msg">
>*                SearchControlValue *<br class="gmail_msg">
>*                    size: 100 *<br class="gmail_msg">
>*                    cookie: <MISSING> *<br class="gmail_msg">
>---<br class="gmail_msg">
><br class="gmail_msg">
>When requesting from "cn=accounts" subtree things go ok, and reply also<br class="gmail_msg">
>contain "pagedResultsControl" block:<br class="gmail_msg">
>---<br class="gmail_msg">
>Lightweight Directory Access Protocol<br class="gmail_msg">
>    LDAPMessage searchResDone(2) success [1 result]<br class="gmail_msg">
>        messageID: 2<br class="gmail_msg">
>        protocolOp: searchResDone (5)<br class="gmail_msg">
>            searchResDone<br class="gmail_msg">
>                resultCode: success (0)<br class="gmail_msg">
>                matchedDN:<br class="gmail_msg">
>                errorMessage:<br class="gmail_msg">
>        [Response To: 15]<br class="gmail_msg">
>        [Time: 0.065699000 seconds]<br class="gmail_msg">
>  *      controls: 1 item*<br class="gmail_msg">
>*            Control*<br class="gmail_msg">
>*                controlType: 1.2.840.113556.1.4.319 (pagedResultsControl)*<br class="gmail_msg">
>*                SearchControlValue*<br class="gmail_msg">
>*                    size: 0*<br class="gmail_msg">
>*                    cookie: <MISSING>*<br class="gmail_msg">
>---<br class="gmail_msg">
>and vSphere accepts the results of such queries without any problem, except<br class="gmail_msg">
>the fact that there are no some required attributes in objects in this<br class="gmail_msg">
>subtree.<br class="gmail_msg">
><br class="gmail_msg">
>But on same requests to "cn=compat" subtree (where all required attributes<br class="gmail_msg">
>added) something goest wrong, and replies doesn't contain<br class="gmail_msg">
>"pagedResultsControl" block (the result set itself is identical, absence of<br class="gmail_msg">
>controls block is only difference) :<br class="gmail_msg">
That's correct because slapi-nis plugin does not support paged results<br class="gmail_msg">
control for the virtual subtree.<br class="gmail_msg">
<br class="gmail_msg">
--<br class="gmail_msg">
/ Alexander Bokovoy<br class="gmail_msg">
</blockquote></div>