<div dir="ltr">Thanks Alexander!!<br><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><span><b><span style="font-size:9.5pt;font-family:"times new roman","serif""><span style="color:rgb(255,0,0)"></span></span></b><span style="font-family:arial,helvetica,sans-serif"><font size="2"><span style="color:black"></span></font></span></span></div></div></div></div></div></div></div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Fri, Feb 24, 2017 at 6:04 AM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On to, 23 helmi 2017, Hanoz Elavia wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello,<br>
<br>
My FreeIPA clients and server are setup to use the AD domain as the<br>
default. This is done using the default_domain_suffix parameter in the sssd<br>
section of the sssd.conf file.<br>
<br>
This works fine for users when we use ldapsearch but not so much for<br>
groups. For e.g.:<br>
<br>
ldapsearch -x -W -s sub -H 'ldap://<a href="http://ipa.server.com" rel="noreferrer" target="_blank">ipa.server.com</a>' -b<br>
'cn=compat,dc=ipa,dc=server,dc<wbr>=com' -D<br>
'uid=binduser,cn=users,cn=acco<wbr>unts,dc=ipa,dc=server,dc=com' '(cn=<br>
<a href="mailto:domaingroup@server.com" target="_blank">domaingroup@server.com</a>)'<br>
<br>
works fine but<br>
<br>
ldapsearch -x -W -s sub -H 'ldap://<a href="http://ipa.server.com" rel="noreferrer" target="_blank">ipa.server.com</a>' -b<br>
'cn=compat,dc=ipa,dc=server,dc<wbr>=com' -D<br>
'uid=binduser,cn=users,cn=acco<wbr>unts,dc=ipa,dc=server,dc=com'<br>
'(cn=domaingroup)'<br>
<br>
won't work. However, the above will work fine for users. I'm using the<br>
</blockquote></span>
No, compat tree is designed to be used with fully-qualified groups and<br>
users. There is no way around it.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div></div>