<div dir="ltr">On 12 April 2013 05:04, John Dennis <span dir="ltr"><<a href="mailto:jdennis@redhat.com" target="_blank">jdennis@redhat.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div class="im">On 04/11/2013 02:47 PM, Bartek Moczulski wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
hi,<br>
I've got a problem with using IPA as authentication source over LDAP.<br>
Generally there are two approaches to LDAP authentication:<br>
1. bind using admin account and read passwords from user objects (but in<br>
ipa you cannot read passwords through ldap, right?)<br>
2. "bind to authenticate" - service tries to log in to ldap with user's<br>
credentials. If login is successful authentication is also succesful -<br>
this approach does not work because you cannot login to IPA ldap using<br>
bare username, you need a full LDAP DN.<br>
</blockquote>
<br></div>
Most applications I know of that do "bind as user" to authenticate also permit you to specify a format string into which the user name is inserted (i.e. the format string is the dn, e.g. "uid=%u,cn=users,cn=accounts,<u></u>dc=example,dc=com") -or- they do a search to discover the dn. If you application does not support either approach it's broken IMHO.<br>
</blockquote><div><br>I have used this method for Confluence, Jira, Stash, Icinga and Foreman.<br></div><div>I will be adding more applications in the future as well.<br></div><div>If the application doesn't support Kerberos it's the next best thing in my opinion.<br>
I have also use it to get email lists into dovecot and postfix.<br><br></div><div>One caveat I found is you need to tell Atlassian applications that FreeIPA is a plain OpenLDAP server to get it to work.<br></div><div>Apart from that it works "out of the box" as they say.<br>
<br></div><div>  <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Reading passwords and/or password hashes is not supported for security reasons.<br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="im">
Now, I've got a 3rd party application supporting both mentioned above<br>
appoaches and the question is - how to make it work with ipa?<br>
<br>
thanks in advance,<br>
Bartek.<br>
<br>
<br></div><div class="im">
______________________________<u></u>_________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com" target="_blank">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/<u></u>mailman/listinfo/freeipa-users</a><br>
<br>
</div></blockquote><span class=""><font color="#888888">
<br>
<br>
-- <br>
John Dennis <<a href="mailto:jdennis@redhat.com" target="_blank">jdennis@redhat.com</a>><br>
<br>
Looking to carve out IT costs?<br>
<a href="http://www.redhat.com/carveoutcosts/" target="_blank">www.redhat.com/carveoutcosts/</a></font></span><div class=""><div class="h5"><br>
<br>
______________________________<u></u>_________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com" target="_blank">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/<u></u>mailman/listinfo/freeipa-users</a><br>
</div></div></blockquote></div><br></div></div>