<div dir="ltr"><div>The problem still exist after update from 4.1 to  4.2.3. <br><br></div>Rob, how to check the missed manage entry?<br></div><div class="gmail_extra"><br><div class="gmail_quote">2015-11-20 0:11 GMT+08:00 Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">zhiyong xue wrote:<br>
> Rob, where can I get more error information beside the log?<br>
> [16/Nov/2015:02:52:59 +0000] managed-entries-plugin - mep_del_post_op:<br>
> failed to delete managed entry<br>
> (member=syncopex5,cn=groups,cn=accounts,dc=example,dc=com) - error (32)<br>
<br>
</span>I can still only assume what you're doing: manually adding the entries<br>
directly by LDAP. To do this you need to follow IPA conventions, or use<br>
the new user lifecycle framework added in 4.2.<br>
<br>
I'm guessing it can't delete the managed entry because either it doesn't<br>
exist or it is missing an objectclass/attribute marking it as managed.<br>
<br>
rob<br>
<span class=""><br>
><br>
> 2015-11-16 13:43 GMT+08:00 zhiyong xue <<a href="mailto:xuezhiy@gmail.com">xuezhiy@gmail.com</a><br>
</span>> <mailto:<a href="mailto:xuezhiy@gmail.com">xuezhiy@gmail.com</a>>>:<br>
<span class="">><br>
>     I am using IPA 4.1 in CenOS7.  And I can login to system after "id<br>
>     syncopex5", maybe it's cache problem.<br>
><br>
>     2015-11-16 11:24 GMT+08:00 Rob Crittenden <<a href="mailto:rcritten@redhat.com">rcritten@redhat.com</a><br>
</span>>     <mailto:<a href="mailto:rcritten@redhat.com">rcritten@redhat.com</a>>>:<br>
<div class="HOEnZb"><div class="h5">><br>
>         zhiyong xue wrote:<br>
>         > We integrated the Apache Syncope server with FreeIPA server. So user can<br>
>         > self register ID from Apache Syncope then synchronize to FreeIPA. The<br>
>         > problems are:<br>
>         > *1) User created from Apache Syncope can't login to linux. The<br>
>         user<br>
>         > created from FreeIPA web gui works well.*<br>
><br>
>         For login issues see<br>
>         <a href="https://fedorahosted.org/sssd/wiki/Troubleshooting" rel="noreferrer" target="_blank">https://fedorahosted.org/sssd/wiki/Troubleshooting</a><br>
>         This is unlikely to fix things but it will help with later<br>
>         debugging.<br>
><br>
>         This likely revolves around how you are creating these accounts.<br>
>         We'll<br>
>         need information on what you're doing. The more details the better.<br>
><br>
>         > *2) The user also can't be deleted from web UI and CLI. It said<br>
>         > "syncopex5: user not found".*<br>
><br>
>         Again, you probably aren't creating the users correctly.<br>
><br>
>         I can only assume that you are creating the users directly via<br>
>         an LDAP<br>
>         add. This is working around the IPA framework which does<br>
>         additional work.<br>
><br>
>         Knowing what version of IPA this is would help too.<br>
><br>
>         You'll probably also want to read this:<br>
>         <a href="http://www.freeipa.org/page/V4/User_Life-Cycle_Management" rel="noreferrer" target="_blank">http://www.freeipa.org/page/V4/User_Life-Cycle_Management</a> . This<br>
>         is in<br>
>         IPA 4.2.<br>
><br>
>         rob<br>
>         rob<br>
><br>
><br>
><br>
<br>
</div></div></blockquote></div><br></div>