<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 20, 2017 at 4:00 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On ma, 20 maalis 2017, Iulian Roman wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello,<br>
<br>
I noticed that nested group feature do not work with the unix ldap clients<br>
(AIX) if the default groupbasedn (cn=groups,cn=accounts,dc=...) is used. If<br>
i use the cn=compat and change the mapping the nested groups are listed<br>
properly.<br>
</blockquote>
Compat tree implements RFC2307 schema which doesn't have nested groups. <br></blockquote><div>Correct, but although the groups under the compat tree do not have the nestedgroup object class attribute, whenever i change the group membership via WEB UI, the compat tree group membership is automatically updated (new memberUid is added). What i've done was a sort of workaround and map the AIX groups attribute to the memberUid which seems to work properly. <br> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Main tree in FreeIPA uses RFC2307bis schema which supports nested<br>
groups.<br>
<br></blockquote><div>Any plans to support RFC2307AIX schema ?  <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On AIX, IBM officially supports only AIX, RFC2307, and RFC2307AIX<br>
schemas. AIX's automounter does support RFC2307bis automount maps but<br>
the rest of the system does not support RFC2307bis. In particular, AIX<br>
does not understand member attribute  dereference.<br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
My question is if it is allowed to mix the compat and accounts cn for the<br>
userbasedn and groupbasedn on the same unix ldap client ?<br>
</blockquote>
No, not really. You are messing it up something that your client<br>
does not understand.<span class="HOEnZb"><font color="#888888"><br></font></span></blockquote><div>As i explained above, i could use the basic attributes in the compat tree for groups in order to update the AIX "groups" attribute (based on memberuid list). Is there anything which can break the functionality if the compat tree is used instead of the main/accounts tree  or it is a fortunate coincidence that this setup works ?  <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="HOEnZb"><font color="#888888">
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div></div>