<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Mar 9, 2017 at 4:06 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On to, 09 maalis 2017, Robert Johnson wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello,<br>
<br>
I am running into an odd issue haven't been able to find any information<br>
through searching on this issue online.<br>
<br>
Environment: We are currently have a IPA master running<br>
ipa-server-4.4.0-14.el7_3.4.x8<wbr>6_64 on a RHEL 7.3 server.  We have a mix of<br>
RHEL 6.8, RHEL 7.x and Solaris 10 clients. We also have a one way trust to<br>
a windows domain.  Compatibility mode is enabled.<br>
<br>
The issue I'm seeing is that when I delete an IPA domain user through the<br>
web gui, the user account doesn't appear to be removed completely from the<br>
system.  I verified via "ipa user-find" that the user is no longer in the<br>
system.  I also checked via "ldapsearch" that the user account doesn't<br>
exist in the "accounts" container.  However, when I look in the "users,<br>
compat" container, that user still exists.<br>
<br>
This is causing problems with my Solaris clients since they are pointing to<br>
the compat tree so that we can login with the windows accounts on those<br>
servers.  The Solaris client is still seeing the account as being valid and<br>
is asking the user for a password on login which fails because the account<br>
doesn't exist in the IPA domain anymore.<br>
<br>
Do I need to remove the account from the ldap compat container manually or<br>
is the IPA user delete command (through the gui and/or command line)<br>
suppose to take care of this ?  Or is there is some sort of clean up<br>
process that I have to wait for to occur before this account gets removed<br>
from that container ?  If so, what is the time frame ?<br>
</blockquote></span>
Compat tree is automatically generated. It also tracks existing objects,<br>
so any time the object is removed from the primary tree, it should be<br>
cleared from the compat tree as well.<br>
<br>
If you can reliably demonstrate the problem using<br>
<a href="http://www.freeipa.org/page/Demo" rel="noreferrer" target="_blank">http://www.freeipa.org/page/De<wbr>mo</a> (it has compat tree enabled), then feel<br>
free to open a bug.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div><div class="gmail_extra">So after doing some more digging using ldapsearch, I discovered some "odd" entries.  It appears that all my IPA users appear to have duplicate entries under the compat tree. So on a hunch I deleted another IPA user and one of the two entries disappeared from the container.  I tried to use ldapdelete (and ldapmodify) to remove the "ghost" entry using the DN I found from the search and I get a "object not found" and then it says that it matched the base tree.  If I dump the whole compat tree out to a file, the ghost objects look to be exact duplicates of the original entries (minus the guid which is different).  I can't seem to find a way to remove them.<br><br></div><div class="gmail_extra">Any ideas ?<br></div></div>