<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#ffffff" text="#000000">
    On 11/22/2011 08:45 AM, David Juran wrote:
    <blockquote
      cite="mid:1321969512.3674.75.camel@localhost.localdomain"
      type="cite">
      <pre wrap="">On Mon, 2011-11-21 at 11:55 -0500, Dmitri Pal wrote:
</pre>
      <blockquote type="cite">
        <pre wrap="">On 11/21/2011 11:48 AM, David Juran wrote: 
</pre>
        <blockquote type="cite">
          <pre wrap="">Hello.

I have a customer who is using nisNetgroups in microsoft Active
Directory to keep track of which users are allowed to access which
services. I've understood that IPA today does not sync this information
from AD, is this correct?

What about the future, once we can have trust towards an AD? Would that
allow us to use the nisNet groups in AD for HBAC and sudo?
</pre>
        </blockquote>
        <pre wrap="">
Trusts would not help with netgroups. 
I wonder if it is something that can be done via a client
configuration.

But also why not move netgroups into IPA? Dumping the data into LDIF,
creating a script to convert it to IPA internal netgroups format and
loading it is not a huge effort.
</pre>
      </blockquote>
      <pre wrap="">
That is certainly the approach I will recommend but I suspect part of
the problem is that the internal tool that the customer uses for the
approval process (i.e. the process where someone approves that user foo
should get added to group bar) knows how to communicate with AD but not
how to talk to IPA. But if it comes to this, I guess it would be
possible to do a regular sync, i.e. dump the LDIF from AD and import it
into IPA on a regular basis.

In any case, thank you for the answer.
</pre>
    </blockquote>
    <br>
    I doubt that there is something specific. Netgroup schema is a
    standard 2307.<br>
    I suspect that AD uses this schema and the client software just uses
    LDAP client connection to get this info. <br>
    So in general case it should be the question of pointing the LDAP
    search to a different server.<br>
    Of cause if the client software has some AD related assumptions like
    base DN hardcoded then there will be a problem but app developers 
    learned this lesson more than 10 years ago so I hope this is not the
    case.<br>
    <br>
    <br>
    <br>
    <blockquote
      cite="mid:1321969512.3674.75.camel@localhost.localdomain"
      type="cite">
      <pre wrap="">

</pre>
      <pre wrap="">
<fieldset class="mimeAttachmentHeader"></fieldset>
_______________________________________________
Freeipa-users mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a>
<a class="moz-txt-link-freetext" href="https://www.redhat.com/mailman/listinfo/freeipa-users">https://www.redhat.com/mailman/listinfo/freeipa-users</a></pre>
    </blockquote>
    <br>
    <br>
    <pre class="moz-signature" cols="72">-- 
Thank you,
Dmitri Pal

Sr. Engineering Manager IPA project,
Red Hat Inc.


-------------------------------
Looking to carve out IT costs?
<a class="moz-txt-link-abbreviated" href="http://www.redhat.com/carveoutcosts/">www.redhat.com/carveoutcosts/</a>


</pre>
  </body>
</html>