Hi, because HW failure(only one replica left - without CA and unfortunately without backup) we have decided to build fresh new IPA servers and move users and groups from old IPA server with ipa migrate-ds command. It's quite small use case just about 100 users and couple of groups. I was able successfully import users and groups into new server with:
ipa-new# ipa -d migrate-ds ldap://ipa-old.example.com --user-container=cn=users,cn=accounts,dc=example,dc=com --group-container=cn=groups,cn=accounts,dc=example,dc=com Users and all groups were imported but all user's primary groups are missing. ipa-new# id user uid=891500508(user) gid=891500508 groups=891500508,1471200000(admins) No reply with: getent group 891500508 getent group user also: ipa-new# su user Password: /usr/bin/id: cannot find name for group ID 891500508 When creating new user it works correctly: ipa-new# ipa user-add tester ..... uid=1471200001(tester) gid=1471200001(tester) groups=1471200001(tester) getent group tester tester:*:1471200001: getent group tester tester:*:1471200001: ldapsearch doesn't show any user's primary groups in cn=groups,cn=accounts,dc=example,dc=com. It shows just the primary group of newly created user- tester + other non primary groups. Am I doing something wrong ? How to fix this ? Import primary groups manually with ldapmodify or can I create them with ipa group-add ? Thanks, Jan Jan Karásek ELOS Technologies s.r.o. Americká 36 120 00 Praha 2 tel. +420 607 008 891 e-mail: jan.kara...@elostech.cz www.elostech.cz "Tento e-mail a všechny připojené soubory obsahují důvěrné informace, které mohou být chráněny zákonem. Je určen pouze uvedenému příjemci a dalším osobám, které jsou jmenovitě uvedeny jako příjemci. Jestliže nejste oprávněný příjemce, pak jakákoliv forma zveřejnění, reprodukce, kopírování, distribuce nebo šíření je přísně zakázána. Pokud jste obdržel tento e-mail omylem, oznamte to, prosím, neprodleně jeho odesilateli a pak jej vymažte. ELOS Technologies s.r.o. neručí za bezchybný a úplný přenos zasílaných informaci, ani za zpoždění nebo přerušení přenosu a ani za škody způsobené použitím nebo důvěrou v tyto informace." -- Manage your subscription for the Freeipa-users mailing list: https://www.redhat.com/mailman/listinfo/freeipa-users Go to http://freeipa.org for more info on the project