<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Mar 5, 2015 at 10:37 AM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class=""><div class="h5"><br>
><br>
> users' updates were force by vSphere originated queries.<br>
> For example without adding iNetOrgPerson objectclass, when I wanted to bind<br>
> a permission to a user and searched for users in vSPhere, I got this error<br>
><br>
> 05/Dec/2014:22:59:21 +0100] conn=1831 op=34 SRCH<br>
> base="cn=users,cn=compat,dc=localdomain,dc=local" scope=2<br>
> filter="(&(objectClass=inetOrgPerson)(objectClass=inetOrgPerson))"<br>
> attrs="description entryuuid givenName initials mail pwdaccountlockedtime<br>
> shadowExpire sn title uid userPassword"<br>
<br>
</div></div>I see. The filter is quite strange though, I am not sure why is vSphere<br>
searching for the same value twice. I assume this is a (benign) bug in vSphere:<br>
<br>
(&(objectClass=inetOrgPerson)(objectClass=inetOrgPerson))<br>
<span class=""><br>
> So I verified that adding inetOrgPerson I was then able to add users to<br>
> permissions.<br>
> Probably I have to check which are the MUST attributes for it so that we<br>
> add the too<br>
><br>
> As far as I understood, the use of compat was indeed to add uniqueMember<br>
> that is expected to be there by vSphere, at least in 5.1<br>
<br>
</span>I checked the MUST already, I updated<br>
<br>
<a href="http://www.freeipa.org/page/HowTo/vsphere5_integration" target="_blank">http://www.freeipa.org/page/HowTo/vsphere5_integration</a><br>
<br>
and added the missing SN attribute and removed the invalid objectClass. I hope<br>
that's fine with you.<br>
<br>
HTH,<br>
Martin<br>
</blockquote></div><br></div><div class="gmail_extra"><br></div><div class="gmail_extra">OK for the SN.</div><div class="gmail_extra">But what about uniqueMember removal?</div><div class="gmail_extra">Would complete then successfully the query that is based on this modification on compat groups:</div><div class="gmail_extra">schema-compat-entry-attribute: uniqueMember=%regsub("%{member}","^(.*)accounts(.*)","%1compat%2")<br></div><div class="gmail_extra"><br></div><div class="gmail_extra">?</div><div class="gmail_extra"><br></div><div class="gmail_extra">As far as I verified, vSphere 5.1 makes this query to check if a user has a role, as deriving from being part of a group:</div><div class="gmail_extra">ldapsearch -x -b "cn=groups,cn=compat,dc=localdomain,dc=local" "(&(objectClass=groupOfUniqueNames)(uniqueMember=uid=gcecchi,cn=users,cn=compat,dc=localdomain,dc=local))"<br></div><div class="gmail_extra"><br></div><div class="gmail_extra">and without uniqueMember, I could bind roles directly against users, but the ones applied on groups were not inherited by the users inside the group...</div><div class="gmail_extra"><br></div><div class="gmail_extra">Gianluca</div></div>