<div dir="ltr"><div>I query a new user syncopex8, it's same created from Apache Syncope server.<br><br><b>The output of command "ldapsearch -x -h localhost -b dc=exampe,dc=com uid=syncopex8":</b><br><br># extended LDIF<br>#<br># LDAPv3<br># base <dc=example,dc=com> with scope subtree<br># filter: uid=syncopex8<br># requesting: ALL<br>#<br><br># syncopex8, users, compat, <a href="http://example.com">example.com</a><br>dn: uid=syncopex8,cn=users,cn=compat,dc=example,dc=com<br>cn: x8syncope<br>objectClass: posixAccount<br>objectClass: top<br>gidNumber: 657600044<br>gecos: x8syncope<br>uidNumber: 657600044<br>loginShell: /bin/sh<br>homeDirectory: /home/syncopex8<br>uid: syncopex8<br><br># syncopex8, users, accounts, <a href="http://example.com">example.com</a><br>dn: uid=syncopex8,cn=users,cn=accounts,dc=example,dc=com<br>objectClass: top<br>objectClass: person<br>objectClass: organizationalperson<br>objectClass: inetorgperson<br>objectClass: inetuser<br>objectClass: posixAccount<br>objectClass: krbprincipalaux<br>objectClass: krbticketpolicyaux<br>objectClass: ipaobject<br>objectClass: ipasshuser<br>objectClass: ipaSshGroupOfPubKeys<br>objectClass: mepOriginEntry<br>cn: x8syncope<br>displayName: x8syncope<br>uid: syncopex8<br>gecos: x8syncope<br>uidNumber: 657600044<br>gidNumber: 657600044<br>loginShell: /bin/sh<br>homeDirectory: /home/syncopex8<br>sn: syncope<br>givenName: x8<br>initials: xs<br><br># search result<br>search: 2<br>result: 0 Success<br><br># numResponses: 3<br># numEntries: 2<br><br><b>The output of command "ldapsearch -x -h localhost -b dc=exampe,dc=com cn=syncopex8":</b><br># extended LDIF<br>#<br># LDAPv3<br># base <dc=example,dc=com> with scope subtree<br># filter: cn=syncopex8<br># requesting: ALL<br>#<br><br># syncopex8, groups, compat, <a href="http://example.com">example.com</a><br>dn: cn=syncopex8,cn=groups,cn=compat,dc=example,dc=com<br>gidNumber: 657600044<br>objectClass: posixGroup<br>objectClass: top<br>cn: syncopex8<br><br># syncopex8, groups, accounts, <a href="http://example.com">example.com</a><br>dn: cn=syncopex8,cn=groups,cn=accounts,dc=example,dc=com<br>objectClass: posixgroup<br>objectClass: ipaobject<br>objectClass: mepManagedEntry<br>objectClass: top<br>cn: syncopex8<br>gidNumber: 657600044<br>description: User private group for syncopex8<br>mepManagedBy: uid=syncopex8,cn=users,cn=accounts,dc=example,dc=com<br>ipaUniqueID: 1c07557c-8cce-11e5-8f72-fa163e630e3d<br><br># search result<br>search: 2<br>result: 0 Success<br><br># numResponses: 3<br># numEntries: 2<br><br></div><b>The output of command "ipa user-showsyncopex8 --raw --all"</b><br><div><br>  dn: uid=syncopex8,cn=users,cn=accounts,dc=example,dc=com<br>  uid: syncopex8<br>  givenname: x8<br>  sn: syncope<br>  cn: x8syncope<br>  initials: xs<br>  homedirectory: /home/syncopex8<br>  gecos: x8syncope<br>  loginshell: /bin/sh<br>  mail: <a href="mailto:x8@example.com">x8@example.com</a><br>  uidnumber: 657600044<br>  gidnumber: 657600044<br>  nsaccountlock: FALSE<br>  has_password: TRUE<br>  has_keytab: TRUE<br>  displayName: x8syncope<br>  ipaUniqueID: 1bffe8b4-8cce-11e5-8f72-fa163e630e3d<br>  krbExtraData: AALHiEpWcm9vdC9hZG1pbkBCTVguSUJNLkNPTQA=<br>  krbLastPwdChange: 20151117015415Z<br>  krbPasswordExpiration: 20151117015415Z<br>  krbPrincipalName: <a href="mailto:syncopex8@EXAMPLE.COM">syncopex8@EXAMPLE.COM</a><br>  memberOf: cn=ipausers,cn=groups,cn=accounts,dc=example,dc=com<br>  mepManagedEntry: member=syncopex8,cn=groups,cn=accounts,dc=example,dc=com<br>  mepManagedEntry: cn=syncopex8,cn=groups,cn=accounts,dc=example,dc=com<br>  objectClass: top<br>  objectClass: person<br>  objectClass: organizationalperson<br>  objectClass: inetorgperson<br>  objectClass: inetuser<br>  objectClass: posixAccount<br>  objectClass: krbprincipalaux<br>  objectClass: krbticketpolicyaux<br>  objectClass: ipaobject<br>  objectClass: ipasshuser<br>  objectClass: ipaSshGroupOfPubKeys<br>  objectClass: mepOriginEntry<br><br></div><div><b>The output of command "ipa group-show syncopex8 --raw --all":</b><br>  dn: cn=syncopex8,cn=groups,cn=accounts,dc=example,dc=com<br>  cn: syncopex8<br>  description: User private group for syncopex8<br>  gidnumber: 657600044<br>  ipaUniqueID: 1c07557c-8cce-11e5-8f72-fa163e630e3d<br>  mepManagedBy: uid=syncopex8,cn=users,cn=accounts,dc=example,dc=com<br>  objectClass: posixgroup<br>  objectClass: ipaobject<br>  objectClass: mepManagedEntry<br>  objectClass: top<br><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-11-16 17:49 GMT+08:00 Tomas Babej <span dir="ltr"><<a href="mailto:tbabej@redhat.com" target="_blank">tbabej@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Can you provide a result of a LDAP search run on that entry? As Rob<br>
points out, you're probably creating the user in a manner that bypasses<br>
the framework.<br>
<br>
Tomas<br>
<span class=""><br>
On 11/16/2015 06:43 AM, zhiyong xue wrote:<br>
> I am using IPA 4.1 in CenOS7.  And I can login to system after "id<br>
> syncopex5", maybe it's cache problem.<br>
><br>
> 2015-11-16 11:24 GMT+08:00 Rob Crittenden <<a href="mailto:rcritten@redhat.com">rcritten@redhat.com</a><br>
</span>> <mailto:<a href="mailto:rcritten@redhat.com">rcritten@redhat.com</a>>>:<br>
<div class="HOEnZb"><div class="h5">><br>
>     zhiyong xue wrote:<br>
>     > We integrated the Apache Syncope server with FreeIPA server. So user can<br>
>     > self register ID from Apache Syncope then synchronize to FreeIPA. The<br>
>     > problems are:<br>
>     > *1) User created from Apache Syncope can't login to linux. The user<br>
>     > created from FreeIPA web gui works well.*<br>
><br>
>     For login issues see <a href="https://fedorahosted.org/sssd/wiki/Troubleshooting" rel="noreferrer" target="_blank">https://fedorahosted.org/sssd/wiki/Troubleshooting</a><br>
>     This is unlikely to fix things but it will help with later debugging.<br>
><br>
>     This likely revolves around how you are creating these accounts. We'll<br>
>     need information on what you're doing. The more details the better.<br>
><br>
>     > *2) The user also can't be deleted from web UI and CLI. It said<br>
>     > "syncopex5: user not found".*<br>
><br>
>     Again, you probably aren't creating the users correctly.<br>
><br>
>     I can only assume that you are creating the users directly via an LDAP<br>
>     add. This is working around the IPA framework which does additional<br>
>     work.<br>
><br>
>     Knowing what version of IPA this is would help too.<br>
><br>
>     You'll probably also want to read this:<br>
>     <a href="http://www.freeipa.org/page/V4/User_Life-Cycle_Management" rel="noreferrer" target="_blank">http://www.freeipa.org/page/V4/User_Life-Cycle_Management</a> . This is in<br>
>     IPA 4.2.<br>
><br>
>     rob<br>
>     rob<br>
><br>
><br>
><br>
><br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div>