[Freeipa-users] Missing user's primary group after ipa migrate-ds

Jan Karásek jan.karasek at elostech.cz
Tue Mar 21 13:41:57 UTC 2017 

Hi,

because HW failure(only one replica left - without CA and unfortunately without backup) we have decided to build fresh new IPA servers and move users and groups from old IPA server with ipa migrate-ds command.
It's quite small use case just about 100 users and couple of groups. I was able successfully import users and groups into new server with:

ipa-new# ipa -d migrate-ds ldap://ipa-old.example.com --user-container=cn=users,cn=accounts,dc=example,dc=com --group-container=cn=groups,cn=accounts,dc=example,dc=com

Users and all groups were imported but all user's primary groups are missing. 

ipa-new# id user

uid=891500508(user) gid=891500508 groups=891500508,1471200000(admins)

No reply with:
getent group 891500508
getent group user

also:

ipa-new# su user
Password: 
/usr/bin/id: cannot find name for group ID 891500508

When creating  new user it works correctly:
ipa-new# ipa user-add tester .....

uid=1471200001(tester) gid=1471200001(tester) groups=1471200001(tester)
getent group tester
tester:*:1471200001:

getent group tester
tester:*:1471200001:

ldapsearch doesn't show any user's primary groups in cn=groups,cn=accounts,dc=example,dc=com. It shows just the primary group of newly created user- tester + other non primary groups.

Am I doing something wrong ? How to fix this ? Import primary groups manually with ldapmodify or can I create them with ipa group-add ?

Thanks,
Jan 






















 

Jan Karásek 

ELOS Technologies s.r.o. 
Americká 36 120 00 Praha 2 

tel. +420 607 008 891 
e-mail: jan.karasek at elostech.cz 
www.elostech.cz 

"Tento e-mail a všechny připojené soubory obsahují důvěrné informace, které mohou být chráněny zákonem. Je určen pouze uvedenému příjemci a dalším osobám, které jsou jmenovitě uvedeny jako příjemci. Jestliže nejste oprávněný příjemce, pak jakákoliv forma zveřejnění, reprodukce, kopírování, distribuce nebo šíření je přísně zakázána. Pokud jste obdržel tento e-mail omylem, oznamte to, prosím, neprodleně jeho odesilateli a pak jej vymažte. ELOS Technologies s.r.o. neručí za bezchybný a úplný přenos zasílaných informaci, ani za zpoždění nebo přerušení přenosu a ani za škody způsobené použitím nebo důvěrou v tyto informace."

More information about the Freeipa-users mailing list