<div dir="ltr"><div>Hi,</div><div><br></div><div>We are working with "<i>ad-ldap-medusa-medium</i>" resource synchronizing midPoint users against existing AD accounts as part of the initial migration.</div><div><br></div><div>Newest AD accounts should be on "<i>OU=People,DC=example,DC=net</i>" and older accounts maybe already placed on many different DNs on "<i>OU=UnpredictableOfficeNumber,OU=People,DC=example,DC=net</i>"</div><div><br></div><div>We have already created the users on midPoint taking into account that the correlation matching rule is user/name == sAMAccountName. So, at this point we can see that the shadow users are presented as unlinked.</div><div><br></div><div>If the account DN is equal to the resource mapping generated DN, the account gets linked when we assign the resource to the user. But if the existing account DN is not equal to the resource generated DN (For example, resource is generating "<i>CN=User123,OU=People,DC=example,DC=net</i>" but the account exist on "<i>CN=User123,OU=Office123,OU=People,DC=example,DC=net</i>"), we are getting the following issue when we assign the AD resource to the user:</div><div>midPoint is not linking the account and it tries to create the user in "<i>CN=User123,OU=People,DC=example,DC=net</i>" instead of modifying the user DN to "<i>CN=User123,OU=People,DC=example,DC=net</i>" (we added strength strong to dn mapping and we also tested with strength weak), so we are getting the next error message:</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">"<i>Couldn't add object. Object already exists: Object already exists on the resource</i>".</blockquote><div><br></div><div>It's strange because if we import the account manually from the resource, it is linking midPoint user with AD account and modifying the DN.</div><div><br></div><div>Our goal is to link existing midPoint user with existing AD account by matching name against sAMAccountName and override the unpredictable and unknown DN with a more friendly DN, if its possible or at least link the user without modifying the DN.</div><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><b style="font-family:arial,helvetica,sans-serif;font-size:14.4px;color:rgb(68,68,68)">Ezequiel Alonso</b><br></div><div><font color="#999999" style="font-family:arial,helvetica,sans-serif;font-size:14.4px">Identicum S.A.</font><br style="font-family:arial,helvetica,sans-serif;font-size:14.4px"><font color="#999999" style="font-family:arial,helvetica,sans-serif;font-size:14.4px"><a href="https://maps.google.com/?q=Jorge+Newbery+3226" style="color:rgb(17,85,204)" target="_blank">Jorge Newbery 3226, Buenos Aires, Argentina</a></font><br style="font-family:arial,helvetica,sans-serif;font-size:14.4px"><font color="#999999" style="font-family:arial,helvetica,sans-serif;font-size:14.4px">Tel: +54 (11) 4552-3050</font><br style="font-family:arial,helvetica,sans-serif;font-size:14.4px"><font color="#999999" style="font-family:arial,helvetica,sans-serif;font-size:14.4px"><a href="http://www.identicum.com/" style="color:rgb(17,85,204)" target="_blank">www.identicum.com</a></font><font color="#999999" face="verdana, sans-serif" size="1"><br></font></div></div></div></div></div></div></div>
</div>