<font size=2 face="sans-serif">hi all,</font>
<br><font size=2 face="sans-serif">when I tried to install FreeIPA 2.99.0
on Fedora 17 I got the following error:</font>
<br>
<br><font size=2 face="sans-serif">[root@linux yum.repos.d]# cat ipa-devel.repo
</font>
<br><font size=2 face="sans-serif">[ipa-devel]</font>
<br><font size=2 face="sans-serif">name=IPA development $releasever - $basearch</font>
<br><font size=2 face="sans-serif">baseurl=http://jdennis.fedorapeople.org/ipa-devel/fedora/$releasever/$basearch/os/</font>
<br>
<br><font size=2 face="sans-serif">enabled=1</font>
<br><font size=2 face="sans-serif">gpgcheck=0</font>
<br>
<br><font size=2 face="sans-serif">new yum update .. </font>
<br>
<br><font size=2 face="sans-serif">[root@linux yum.repos.d]# uname -a </font>
<br><font size=2 face="sans-serif">Linux linux.fritz.box 3.4.4-3.fc17.x86_64
#1 SMP Tue Jun 26 20:54:56 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux</font>
<br>
<br><font size=2 face="sans-serif">freeipa-server-2.99.0-0.20120630T2358Zgit50ebd1a.fc17.x86_64..</font>
<br>
<br><font size=2 face="sans-serif">ipa-server-install  -a ###t --hostname=linux.fritz.box
-r fritz.box -p ###### -n fritz.box  -U</font>
<br>
<br><font size=2 face="sans-serif">  [21/36]: adding default layout</font>
<br><font size=2 face="sans-serif">Unexpected error - see /var/log/ipaserver-install.log
for details:</font>
<br><font size=2 face="sans-serif">KeyError: 'REALM_id_range'</font>
<br>
<br><font size=2 face="sans-serif">log .. </font>
<br>
<br><font size=2 face="sans-serif">2012-07-02T10:07:32Z DEBUG   [21/36]:
adding default layout</font>
<br><font size=2 face="sans-serif">2012-07-02T10:07:32Z INFO   File
"/usr/lib/python2.7/site-packages/ipaserver/install/installutils.py",
line 696, in run_script</font>
<br><font size=2 face="sans-serif">    return_value = main_function()</font>
<br>
<br><font size=2 face="sans-serif">  File "/sbin/ipa-server-install",
line 958, in main</font>
<br><font size=2 face="sans-serif">    hbac_allow=not options.hbac_allow)</font>
<br>
<br><font size=2 face="sans-serif">  File "/usr/lib/python2.7/site-packages/ipaserver/install/dsinstance.py",
line 249, in create_instance</font>
<br><font size=2 face="sans-serif">    self.start_creation("Configuring
directory server", 60)</font>
<br>
<br><font size=2 face="sans-serif">  File "/usr/lib/python2.7/site-packages/ipaserver/install/service.py",
line 259, in start_creation</font>
<br><font size=2 face="sans-serif">    method()</font>
<br>
<br><font size=2 face="sans-serif">  File "/usr/lib/python2.7/site-packages/ipaserver/install/dsinstance.py",
line 569, in __add_default_layout</font>
<br><font size=2 face="sans-serif">    self._ldap_mod("bootstrap-template.ldif",
self.sub_dict)</font>
<br>
<br><font size=2 face="sans-serif">  File "/usr/lib/python2.7/site-packages/ipaserver/install/service.py",
line 98, in _ldap_mod</font>
<br><font size=2 face="sans-serif">    txt = ipautil.template_file(path,
sub_dict)</font>
<br>
<br><font size=2 face="sans-serif">  File "/usr/lib/python2.7/site-packages/ipapython/ipautil.py",
line 218, in template_file</font>
<br><font size=2 face="sans-serif">    return template_str(txt,
vars)</font>
<br>
<br><font size=2 face="sans-serif">  File "/usr/lib/python2.7/site-packages/ipapython/ipautil.py",
line 206, in template_str</font>
<br><font size=2 face="sans-serif">    val = string.Template(txt).substitute(vars)</font>
<br>
<br><font size=2 face="sans-serif">  File "/usr/lib64/python2.7/string.py",
line 172, in substitute</font>
<br><font size=2 face="sans-serif">    return self.pattern.sub(convert,
self.template)</font>
<br>
<br><font size=2 face="sans-serif">  File "/usr/lib64/python2.7/string.py",
line 162, in convert</font>
<br><font size=2 face="sans-serif">    val = mapping[named]</font>
<br>
<br><font size=2 face="sans-serif">2012-07-02T10:07:32Z INFO The ipa-server-install
command failed, exception: KeyError: 'REALM_id_range'</font>
<br>
<br><font size=2 face="sans-serif">thx klaus </font>
<br><font size=2 face="sans-serif"><br>
Best Regards,<br>
</font>
<table width=100%>
<tr valign=top>
<td width=52%><a href="http://w3.ibm.com/bluepages/simpleSearch.wss?searchBy=name&searchFor=Eckel, Klaus"><font size=1 color=blue face="Arial">Klaus
Eckel</font></a><font size=1 color=blue face="Arial">, UNIX</font><font size=1 color=#808080 face="Arial"><br>
Consultant HPC (AIX,Linux) GPFS, BIA, SAP</font>
<br><font size=1 color=#808080 face="Arial">ITS/STG (SSIS)</font>
<br><font size=1 color=#808080 face="Arial">Server, Storage & Data
Infrastructure Services</font>
<td width=20%><a href=http://www.ibm.com/de/><font size=1 color=blue face="Arial">IBM
Deutschland GmbH</font></a><font size=1 color=#808080 face="Arial"><br>
Laatzener str, 1<br>
30539 Hannover<br>
Germany</font>
<td width=27%><font size=1 color=#808080 face="Arial">Email: </font><a href=mailto:keckel@de.ibm.com><font size=1 color=blue face="Arial">keckel@de.ibm.com</font></a><font size=1 color=#808080 face="Arial"><br>
Phone: +49-(0)52319489906<br>
Handy: +49 (0)170 6323416<br>
<br>
</font></table>
<br>
<table width=100%>
<tr>
<td width=100% bgcolor=#c0c0c0>
<div align=center><font size=1 face="Arial">Visit the </font><a href="http://www-03.ibm.com/solutions/sap/"><font size=1 color=blue face="Arial">IBM
Deutschland ITS </font></a><font size=1 face="Arial">Pages.</font></div></table>
<br><font size=1 face="sans-serif">IBM Deutschland GmbH / Vorsitzender
des Aufsichtsrats: Erich Clementi  Geschäftsführung: Martin Jetter
(Vorsitzender), Reinhard Reschke, <br>
Dieter Scholz, Klaus Lintelmann, Michael Diemer, Martina Koederitz Sitz
der Gesellschaft:</font>
<br><font size=1 face="sans-serif"> Ehningen / Registergericht: Amtsgericht
Stuttgart, HRB 14562 WEEE-Reg.-Nr. DE 99369940 </font>
<br>
<br><tt><font size=2>freeipa-devel-bounces@redhat.com wrote on 07/02/2012
09:55:36 AM:<br>
<br>
> From:</font></tt>
<br><tt><font size=2>> <br>
> Martin Kosek <mkosek@redhat.com></font></tt>
<br><tt><font size=2>> <br>
> To:</font></tt>
<br><tt><font size=2>> <br>
> Rob Crittenden <rcritten@redhat.com>, </font></tt>
<br><tt><font size=2>> <br>
> Cc:</font></tt>
<br><tt><font size=2>> <br>
> freeipa-devel@redhat.com</font></tt>
<br><tt><font size=2>> <br>
> Date:</font></tt>
<br><tt><font size=2>> <br>
> 07/02/2012 09:57 AM</font></tt>
<br><tt><font size=2>> <br>
> Subject:</font></tt>
<br><tt><font size=2>> <br>
> Re: [Freeipa-devel] [PATCHES] 22-24 Add initial support for ID ranges</font></tt>
<br><tt><font size=2>> <br>
> Sent by:</font></tt>
<br><tt><font size=2>> <br>
> freeipa-devel-bounces@redhat.com</font></tt>
<br><tt><font size=2>> <br>
> On 06/30/2012 12:01 AM, Rob Crittenden wrote:<br>
> > Rob Crittenden wrote:<br>
> >> Rob Crittenden wrote:<br>
> >>> Alexander Bokovoy wrote:<br>
> >>>> On Fri, 29 Jun 2012, Sumit Bose wrote:<br>
> >>>>> On Wed, Jun 27, 2012 at 09:19:36PM +0200, Sumit
Bose wrote:<br>
> >>>>>> On Tue, Jun 26, 2012 at 12:30:14PM +0200,
Sumit Bose wrote:<br>
> >>>>>> > On Sun, Jun 17, 2012 at 09:47:20PM +0200,
Sumit Bose wrote:<br>
> >>>>>> > > On Thu, Jun 14, 2012 at 02:25:01PM
+0200, Sumit Bose wrote:<br>
> >>>>>> > > > On Thu, Jun 14, 2012 at 07:54:40AM
-0400, Simo Sorce wrote:<br>
> >>>>>> > > > > On Thu, 2012-06-14 at
12:35 +0200, Sumit Bose wrote:<br>
> >>>>>> > > > > > On Wed, Jun 13,
2012 at 08:38:23PM -0400, Simo Sorce wrote:<br>
> >>>>>> > > > > > > On Wed, 2012-06-13
at 21:17 +0200, Sumit Bose wrote:<br>
> >>>>>> > > > > > > ><br>
> >>>>>> > > > > > > > to keep
track of the different ranges we use for<br>
> >>>>>> UIDs/GIDs for local<br>
> >>>>>> > > > > > > > users/groups
and users from trusted domains new range<br>
> >>>>>> objects are<br>
> >>>>>> > > > > > > > introduced
which are stored below<br>
> >>>>>> cn=range,cn=etc,$SUFFIX.<br>
> >>>>>> > > > > > > ><br>
> >>>>>> > > > > > > > 0022:
LDAP schema update<br>
> >>>>>> > > > > > ><br>
> >>>>>> > > > > > > ack<br>
> >>>>>> > > > > > ><br>
> >>>>>> > > > > > > > 0023:
Create a range object during installation fir the<br>
> >>>>>> local ID range<br>
> >>>>>> > > > > > ><br>
> >>>>>> > > > > > > nack, I think
we need to find a way to handle adding at<br>
> >>>>>> least the base<br>
> >>>>>> > > > > > > range on update.
Otherwise an updated server won't be<br>
> >>>>>> able to have IDs<br>
> >>>>>> > > > > > > for most of
its users.<br>
> >>>>>> > > > > ><br>
> >>>>>> > > > > > I fully agree, but
since we said that we concentrate on<br>
> >>>>>> update issues in<br>
> >>>>>> > > > > > beta2 I wanted to
send the version for the fresh install<br>
> >>>>>> first to allow<br>
> >>>>>> > > > > > testing.<br>
> >>>>>> > > > ><br>
> >>>>>> > > > > The reason I'd like updates
is that this patchset can be<br>
> >>>>>> installed on<br>
> >>>>>> > > > > top of existing servers
for testing w/o having to reinstall<br>
> >>>>>> from scratch<br>
> >>>>>> > > > > or manually creating
the ipaDomainIDRange object :):)<br>
> >>>>>> > > ><br>
> >>>>>> > > > ok, will do.<br>
> >>>>>> > > ><br>
> >>>>>> > > > Do you otherwise agree with
the patches or is there something I<br>
> >>>>>> should<br>
> >>>>>> > > > change while adding the updates?<br>
> >>>>>> > > ><br>
> >>>>>> > > > bye,<br>
> >>>>>> > > > Sumit<br>
> >>>>>> > > ><br>
> >>>>>> > > > ><br>
> >>>>>> > > > > > ><br>
> >>>>>> > > > > > > > 0024:
add primary and secondary RID base to the local<br>
> >>>>>> range object<br>
> >>>>>> > > > > > > >  
    during ipa-adtrust-install<br>
> >>>>>> > > > > > ><br>
> >>>>>> > > > > > > Not sure if
setting the range belongs in the previous<br>
> >>>>>> patch or this one.<br>
> >>>>>> > > > > ><br>
> >>>>>> > > > > > I think it is right
here, because a plain IPA server does<br>
> >>>>>> not need the<br>
> >>>>>> > > > > > RID related attributes.<br>
> >>>>>> > > > > ><br>
> >>>>>> > > > > > > We might decide
to ask questions during<br>
> >>>>>> ipa-adtrust-install if the range<br>
> >>>>>> > > > > > > is not available,
maybe presenting a set of pre-canned<br>
> >>>>>> choices if we can<br>
> >>>>>> > > > > > > detect them.<br>
> >>>>>> > > > > ><br>
> >>>>>> > > > > > I agree here, too.
But as above I would like to handle<br>
> >>>>>> update issues<br>
> >>>>>> > > > > > in a second round.<br>
> >>>>>> > > > > ><br>
> >>>>>> > > > > > ><br>
> >>>>>> > > > > > > Finally I think
we need to do a search with uid/gidNmber<br>
> >>>>>> < base and<br>
> >>>>>> > > > > > > uid/gidNumber
> max and prompt/warn the user if we detect<br>
> >>>>>> any ID the<br>
> >>>>>> > > > > > > falls outside
the configured range (either because we<br>
> >>>>>> failed to detect<br>
> >>>>>> > > > > > > ranges on upgrade
and the user botched the question or<br>
> >>>>>> because the admin<br>
> >>>>>> > > > > > > added arbitrary
IDs.<br>
> >>>>>> > > > > > > If a warning
we should warn that missing a range that<br>
> >>>>>> suitably covers<br>
> >>>>>> > > > > > > these IDs,
those users/groups will not be available for<br>
> >>>>>> the trust.<br>
> >>>>>> > > > > > ><br>
> >>>>>> > > > > > > Maybe we should
also have a simple ipa command that can<br>
> >>>>>> list all<br>
> >>>>>> > > > > > > users/groups
that fall outside the ranges as well.<br>
> >>>>>> > > > > ><br>
> >>>>>> > > > > > I'm working on the
ranges cli plugin to allow 'ipa<br>
> >>>>>> range-add', 'ipa<br>
> >>>>>> > > > > > range-find' etc.
I can add it there.<br>
> >>>>>> > > > > ><br>
> >>>>>> > ><br>
> >>>>>> > > Hi,<br>
> >>>>>> > ><br>
> >>>>>> > > this new series of patches add
the cli plugin to create the ID<br>
> >>>>>> ranges<br>
> >>>>>> > > manually. I'm still working on
a detection of the locally used id<br>
> >>>>>> range<br>
> >>>>>> > > of an upgrade domain in ipa-adtrust-install
and an plugin which<br>
> >>>>>> rejects<br>
> >>>>>> > > new ranges which overlaps with
existing ones.<br>
> >>>>>> > ><br>
> >>>>>> > > bye,<br>
> >>>>>> > > Sumit<br>
> >>>>>> ><br>
> >>>>>> > the attached patch adds a preop plugin
which checks for overlaps<br>
> >>>>>> with<br>
> >>>>>> > existing ranges.<br>
> >>>>>> ><br>
> >>>>>> > bye,<br>
> >>>>>> > Sumit<br>
> >>>>>><br>
> >>>>>> Finally I added a method to guess and create
the initial ID range,<br>
> >>>>>> if no<br>
> >>>>>> one is preset, e.g. when updating from an
older version of freeIPA. A<br>
> >>>>>> full series of patches is attached.<br>
> >>>>>><br>
> >>>>>> bye,<br>
> >>>>>> Sumit<br>
> >>>>><br>
> >>>>> This version of patches fixes review comments
by Alexander and also<br>
> >>>>> adds<br>
> >>>>> some test for the range CLI plugin which were
kindly provided by<br>
> >>>>> Alexander.<br>
> >>>> ACK<br>
> >>>><br>
> >>><br>
> >>> These patches aren't applying for me.<br>
> >>><br>
> >>> rob<br>
> >><br>
> >> Hmm. Pulled a fresh tree and they imported fine.<br>
> >><br>
> >> pushed to master<br>
> >><br>
> >> rob<br>
> > <br>
> > I had only pushed 22-24 before, pushed 25 and 29 as well.<br>
> > <br>
> > rob<br>
> > <br>
> <br>
> I examined the latest changes and found several rather serious issues
which<br>
> will break this functionality on upgraded servers:<br>
> <br>
> </font></tt><a href=https://fedorahosted.org/freeipa/ticket/2891><tt><font size=2>https://fedorahosted.org/freeipa/ticket/2891</font></tt></a><tt><font size=2><br>
> <br>
> Martin<br>
> <br>
> _______________________________________________<br>
> Freeipa-devel mailing list<br>
> Freeipa-devel@redhat.com<br>
> </font></tt><a href="https://www.redhat.com/mailman/listinfo/freeipa-devel"><tt><font size=2>https://www.redhat.com/mailman/listinfo/freeipa-devel</font></tt></a><tt><font size=2><br>
> <br>
</font></tt>