<div dir="ltr">hi,<br><div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Mar 18, 2016 at 6:14 AM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">On Thu, 17 Mar 2016, Natxo Asenjo wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
hi,<br>
<br>
see subject. For user accounts it's possible (even multivalued),<br>
<br>
Adding it using an ldap client gives me error 65 (attribute 65 not allowed).<br>
</blockquote></span>
In order to add *any* attribute to *any* LDAP entry you need two<br>
conditions to be satisfied:<br>
<br>
1. LDAP entry in question should have object class that allows this<br>
   attribute<br>
2. Authenticated user should have ACI that allows to add this attribute<br>
   to this entry<br>
<br>
'Attribute not allowed' means condition (1) is not satisfied. FreeIPA<br>
LDAP server has three object classes by default that allow you to add mail<br>
attribute to an entry:<br>
 -- inetOrgPerson<br>
 -- mailRecipient<br>
 -- mailGroup<br>
<br>
I'd say that if you want to associate mail with a group, mailGroup<br>
would be a better object class to use. It is an auxiliary object class,<br>
meaning it only adds some attributes to an entry and there should exist<br>
more fundamental classes (we have them for group already).<br>
<br>
As for (2), admins should have enough rights to modify 'mail' attribute<br>
and 'objectclass' attribute on group entries<span class=""><font color="#888888"></font></span><br></blockquote><div><br></div><div>thanks for your explanation. I have added the mailGroup objectclass to the default group objectclasses group options in 'configurarion' and now I can add the entry. This post helped too: <a href="https://www.redhat.com/archives/freeipa-users/2014-February/msg00050.html">https://www.redhat.com/archives/freeipa-users/2014-February/msg00050.html</a><br><br></div><div>Thanks! <br></div></div><br clear="all"><br><div class="gmail_signature">--<br>Groeten,<br>natxo</div>
</div></div></div>