<div dir="ltr">Hello,<div>I followed the guide here to migrate IPA from CentOS 6.6 to CentOS 7.0:</div><div><a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/upgrading.html">https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/upgrading.html</a><br></div><div><br></div><div>Now, adding a group from console with command</div><div>ipa group-add</div><div>I get this kind of error:</div><div><div>ipa: ERROR: Operations error: Allocation of a new value for range cn=posix ids,cn=distributed numeric assignment plugin,cn=plugins,cn=config failed! Unable to proceed.</div></div><div><br></div><div>the same if I add from web gui without specifying GID.</div><div>Instead if I specify a GID it gets completed, both from console and web gui</div><div><br></div><div><div>[root@c7server slapd-LOCALDOMAIN-LOCAL]# ipa group-add --gid 1639600009</div><div>Group name: mynewgroup</div><div>Description: My New Group<br></div><div>-----------------------</div><div>Added group "mynewgroup"</div><div>-----------------------</div><div>  Group name: mynewgroup</div><div>  Description: My New Group</div><div>  GID: 1639600009</div></div><div><br></div><div><br></div><div>I notice that previously created groups (from command line) in 6.5 got GIDs starting from 1639600001.</div><div>The system generated groups admins and editors have 1639600000 and 1639600002.</div><div><br></div><div>my dna config in migrated CentOS 7 server is this:</div><div><br></div><div><div>dn: cn=Posix IDs,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config</div><div>objectClass: top</div><div>objectClass: extensibleObject</div><div>cn: Posix IDs</div><div>dnaType: uidNumber</div><div>dnaType: gidNumber</div><div>dnaNextValue: 1101</div><div>dnaMaxValue: 1100</div><div>dnaMagicRegen: -1</div><div>dnaFilter: (|(objectClass=posixAccount)(objectClass=posixGroup)(objectClass=ip</div><div> aIDobject))</div><div>dnaScope: dc=localdomain,dc=local</div><div>dnaThreshold: 500</div><div>dnaSharedCfgDN: cn=posix-ids,cn=dna,cn=ipa,cn=etc,dc=localdomain,dc=local</div><div>creatorsName: cn=directory manager</div><div>modifiersName: cn=directory manager</div><div>createTimestamp: 20141206144811Z</div><div>modifyTimestamp: 20141206144811Z</div><div>aci: (targetattr=dnaNextRange || dnaNextValue || dnaMaxValue)(version 3.0;acl</div><div> "permission:Modify DNA Range";allow (write) groupdn = "ldap:///cn=Modify DNA</div><div> Range,cn=permissions,cn=pbac,dc=localdomain,dc=local";)</div></div><div><br></div><div>My CentOS 6.5 server was created with command</div><div>ipa-server-install<br></div><div>without any options</div><div><br></div><div>And after install, the creation of the first userid got this output....</div><div><br></div><div><div>[root@infra install]# ipa user-add</div><div>First name: Gianluca</div><div>Last name: Cecchi</div><div>User login [gcecchi]: </div><div>--------------------</div><div>Added user "gcecchi"</div><div>--------------------</div><div>  User login: gcecchi</div><div>  First name: Gianluca</div><div>  Last name: Cecchi</div><div>  Full name: Gianluca Cecchi</div><div>  Display name: Gianluca Cecchi</div><div>  Initials: GC</div><div>  Home directory: /home/gcecchi</div><div>  GECOS field: Gianluca Cecchi</div><div>  Login shell: /bin/sh</div><div>  Kerberos principal: gcecchi@LOCALDOMAIN.LOCAL</div><div>  Email address: gcecchi@localdomain.local</div><div>  UID: 1639600001</div><div>  GID: 1639600001</div><div>  Password: False</div><div>  Kerberos keys available: False</div></div><div><br></div><div>So the GID was autoset to 1639600001</div><div>Could it be that sort of "dnaNextRange:" was not migrated from CentOS 6.5 to CentOS 7.0?</div><div><br></div><div>I found this kind of information in manual about adding ranges...</div><div><br></div><div><div>ldapmodify -x -D "cn=Directory Manager" -W -h <a href="http://server.example.com">server.example.com</a> -p 389</div><div>Enter LDAP Password: *******</div><div>dn: cn=POSIX IDs,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config</div><div>changetype: modify</div><div>add: dnaNextRange</div><div>dnaNextRange: 123400000-123500000</div></div><div><br></div><div>But I also see in CentOS 7 config thei line that I don't understand...</div><div><div>aci: (targetattr=dnaNextRange || dnaNextValue || dnaMaxValue)(version 3.0;acl</div><div> "permission:Modify DNA Range";allow (write) groupdn = "ldap:///cn=Modify DNA</div><div> Range,cn=permissions,cn=pbac,dc=localdomain,dc=local";)</div></div><div><br></div><div><br></div><div>Inside the log file about the required schema update for CentOS 6.5 to be run before creating replica for CentOS 7 I see:</div><div><br></div><div><div>2014-12-06T11:42:10Z INFO Updating existing entry: cn=Posix IDs,cn=Distributed Numeric Assignment Plugin,cn</div><div>=plugins,cn=config</div><div>2014-12-06T11:42:10Z DEBUG ---------------------------------------------</div><div>2014-12-06T11:42:10Z DEBUG Initial value</div><div>2014-12-06T11:42:10Z DEBUG dn: cn=Posix IDs,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config</div><div>2014-12-06T11:42:10Z DEBUG dnascope: dc=localdomain,dc=local</div><div>2014-12-06T11:42:10Z DEBUG dnathreshold: 500</div><div>2014-12-06T11:42:10Z DEBUG cn: Posix IDs</div><div>2014-12-06T11:42:10Z DEBUG objectclass:</div><div>2014-12-06T11:42:10Z DEBUG      top</div><div>2014-12-06T11:42:10Z DEBUG      extensibleObject</div><div>2014-12-06T11:42:10Z DEBUG dnanextvalue: 1639600008</div><div>2014-12-06T11:42:10Z DEBUG dnamagicregen: 999</div><div>2014-12-06T11:42:10Z DEBUG dnafilter: (|(objectClass=posixAccount)(objectClass=posixGroup)(objectClass=ipaI</div><div>Dobject))</div><div>2014-12-06T11:42:10Z DEBUG dnatype:</div><div>2014-12-06T11:42:10Z DEBUG      uidNumber</div><div>2014-12-06T11:42:10Z DEBUG      gidNumber</div><div>2014-12-06T11:42:10Z DEBUG dnamaxvalue: 1639799999</div><div>2014-12-06T11:42:10Z DEBUG dnasharedcfgdn: cn=posix-ids,cn=dna,cn=ipa,cn=etc,dc=localdomain,dc=local</div><div>2014-12-06T11:42:10Z DEBUG replace: (|(objectclass=posixAccount)(objectClass=posixGroup)) not found, skipping</div><div>2014-12-06T11:42:10Z DEBUG ---------------------------------------------</div><div>2014-12-06T11:42:10Z DEBUG Final value after applying updates</div><div>2014-12-06T11:42:10Z DEBUG dn: cn=Posix IDs,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config</div><div>2014-12-06T11:42:10Z DEBUG dnascope: dc=localdomain,dc=local</div><div>2014-12-06T11:42:10Z DEBUG dnathreshold: 500</div></div><div><div>2014-12-06T11:42:10Z DEBUG cn: Posix IDs</div><div>2014-12-06T11:42:10Z DEBUG objectclass:</div><div>2014-12-06T11:42:10Z DEBUG      top</div><div>2014-12-06T11:42:10Z DEBUG      extensibleObject</div><div>2014-12-06T11:42:10Z DEBUG dnanextvalue: 1639600008</div><div>2014-12-06T11:42:10Z DEBUG dnamagicregen: 999</div><div>2014-12-06T11:42:10Z DEBUG dnafilter: (|(objectClass=posixAccount)(objectClass=posixGroup)(objectClass=ipaIDobject))</div><div>2014-12-06T11:42:10Z DEBUG dnatype:</div><div>2014-12-06T11:42:10Z DEBUG      uidNumber</div><div>2014-12-06T11:42:10Z DEBUG      gidNumber</div><div>2014-12-06T11:42:10Z DEBUG dnamaxvalue: 1639799999</div><div>2014-12-06T11:42:10Z DEBUG dnasharedcfgdn: cn=posix-ids,cn=dna,cn=ipa,cn=etc,dc=localdomain,dc=local</div><div>2014-12-06T11:42:10Z DEBUG []</div><div>2014-12-06T11:42:10Z DEBUG Live 1, updated 0</div><div>2014-12-06T11:42:10Z INFO Done</div></div><div><br></div><div>Thanks in advance for any insight and help to fix the problem.<br></div><div><br></div><div>Gianluca</div></div>