<div dir="ltr">That worked, but having issues get it to work with the OSX Directory Utility.<div>I'm wondering if it's because when you go against the OU normally it's returning more info about the user versus what's being returned from the compat "view" I'm going to experiment with the attributes it's returning and see if that's it.</div>
<div><br></div><div>I'm also wondering why FreeIPA doesn't support multiple OU's natively, this would be so much easier with multiple OUs (one for my non-users and one for my users)</div></div><div class="gmail_extra">
<br><br><div class="gmail_quote">On Wed, Sep 3, 2014 at 9:10 AM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5">On 09/03/2014 03:08 PM, Rob Crittenden wrote:<br>
> Martin Kosek wrote:<br>
>> On 09/03/2014 09:02 AM, Martin Kosek wrote:<br>
>>> In the meantime, you can use the workaround that Rob sent, you would just need<br>
>>> to delete it again when the fix is in, so that the permissions do not step on<br>
>>> each other.<br>
>><br>
>> Actually, wait a minute. I think Rob's ACI example may be too wide, it may<br>
>> expose any attribute in the compat tree, including a potential userPassword.<br>
><br>
> The ACI was on his custom cn=canlogin subtree, not all of cn=compat.<br>
><br>
>> As I see, it seems that slapi-nis plugin do not fortunately expose that, but it<br>
>> is safer to just list the attributes that one wants to display (this is also<br>
>> what we did in FreeIPA 4.0, no global wildcard allowing ACIs any more).<br>
>><br>
>> I added a respective permission via Web UI (one part of it cannot be added via<br>
>> CLI, see <a href="https://fedorahosted.org/freeipa/ticket/4522" target="_blank">https://fedorahosted.org/freeipa/ticket/4522</a>) and compat tree now<br>
>> works for me. See attached example.<br>
>><br>
>> Resulting permission shown in CLI:<br>
>><br>
>> # ipa permission-show "TEMPORARY - Read compat tree"<br>
>>   Permission name: TEMPORARY - Read compat tree<br>
>>   Granted rights: read, search, compare<br>
>>   Effective attributes: cn, description, gecos, gidnumber, homedirectory,<br>
>> loginshell, memberuid,<br>
>>                         objectclass, uid, uidnumber<br>
>>   Bind rule type: all<br>
>>   Subtree: dc=mkosek-fedora20,dc=test<br>
>>   ACI target DN: cn=compat,dc=mkosek-fedora20,dc=test<br>
>><br>
>> It is much easier to manipulate than ACI added via ldapmodify.<br>
><br>
> I see you filed a bug on the missing CLI option. That's why I did the<br>
> ACI, because I couldn't demonstrate how to add this ACI on the CLI. I<br>
> hadn't gotten around to doing that last night.<br>
><br>
> rob<br>
<br>
</div></div>Right. Surprisingly, the option was available in Web UI, thus the Web UI<br>
screenshot I attached to the thread :) But we have the CLI option fixed<br>
already, will be part of FreeIPA 4.0.2 which will be released very soon.<br>
<span class="HOEnZb"><font color="#888888"><br>
Martin<br>
</font></span></blockquote></div><br></div>