<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
Date: Tue, 23 Aug 2016 10:20:32 -0400<br>
From: Rob Crittenden <<a href="mailto:rcritten@redhat.com">rcritten@redhat.com</a>><br>
To: "<a href="http://siology.io" rel="noreferrer" target="_blank">siology.io</a>" <<a href="mailto:siology.io@gmail.com">siology.io@gmail.com</a>>,        freeipa-users<br>
        <<a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a>><br>
Subject: Re: [Freeipa-users] private user groups for existing users<br>
Message-ID: <<a href="mailto:57BC5BB0.7090009@redhat.com">57BC5BB0.7090009@redhat.com</a>><br>
Content-Type: text/plain; charset=ISO-8859-1; format=flowed<br>
<br>
<a href="http://siology.io" rel="noreferrer" target="_blank">siology.io</a> wrote:<br>
>   i've noticed that some of my users (imported from openldap) don't have<br>
> personal user groups, but the new ones that i make within freeipa do.<br>
><br>
> Is there a way of marking the existing accounts such that they get user<br>
> groups made for them ? I couldn't seem to see the groups that IPA is<br>
> making in the LDAP output so it must be creating them via some other means.<br>
><br>
> Is there some sort of  'ipa user create-private-group <userA>' command ?<br>
><br>
> The only work around i have is to make hundreds of fake private groups<br>
> by making normal user groups each with one user, which'll clutter the UI<br>
> up with pointless groups.<br>
<br>
Yeah, there is a ticket open to allow UPG creation in migration but as<br>
you see, it isn't done yet.<br>
<br>
There is no documented way to do it but it should be possible with<br>
ldapmodify. I forget the exact ordering but I'd probably do the group<br>
first, then the user. In theory you can convert a group to be managed by<br>
adding:<br>
<br>
objectclass: mepmanagedentry<br>
mepmanagedby: uid=<user>,cn=users,cn=<wbr>accounts,$SUFFIX<br>
<br>
And removing:<br>
<br>
objectclass: groupofnames<br>
objectclass: nestedgroup<br>
<br>
You also need to update the user with:<br>
<br>
objectclass: meporiginentry<br>
mepmanagedentry: cn=<user>,cn=groups,cn=<wbr>accounts,$SUFFIX<br>
<br>
Just don't do this with any groups that have members.<br>
<br>
Definitely worth experimenting on a non-production installation.<br>
<br>
rob<br></blockquote><div><br></div><div><br></div><div>I'm not too hot with ldapmodify at all. So far i've got: <a href="http://pastebin.com/MDE1SN0F">http://pastebin.com/MDE1SN0F</a> but i dont think that's working for me.</div><div><br></div><div> </div></div></div></div>