<p>Thank Martin and Natxo,</p>
<p>Really appreciate. <br>
> >     Got a question, I know FreeIPA does not allow anonymous binding so if one<br>
> >     need to create an account to query for such information. I did this during<br>
> >     the sudo setup.<br>
> ><br>
> > unless you have changed it yourself (or stuff has changed in the standard<br>
> > installation since v2.2 when I installed my ipa servers) anonymous binding is<br>
> > allowed. But you cannot query group membership of the users IIRC anonymously.<br>
><br>
> Correct. To disable anonymous binds, you can check:<br>
> <a href="http://docs.fedoraproject.org/en-US/Fedora/17/html/FreeIPA_Guide/disabling-anon-binds.html">http://docs.fedoraproject.org/en-US/Fedora/17/html/FreeIPA_Guide/disabling-anon-binds.html</a><br>
><br>
Thanks, I opted to add a bind user instead. <br>
> ><br>
> >     I am trying to get git to use FreeIPA today and I trying to figure where<br>
> >     the bind user should be created under. This got to be a system account, so<br>
> >     I am not sure it should go under the normal user dn below. And even if I<br>
> >     created it as normal user, I am not sure it would have permission to<br>
> >     transverse the tree looking for the group user details<br>
> ><br>
> >     dn: uid=william,cn=users,cn= compat,dc=example,dc=com<br>
> ><br>
> > system accounts like sudo are in cn=sysaccounts,cn=etc,dc=domain,dc=tld ; but<br>
> > you can create them wherever you like I think. If you create a normal ipa<br>
> > account with the ipa tools, you can always modify the krbPasswordExpiration<br>
> > attribute manually and have it expire in the year 3000 so it does not get<br>
> > disabled until then ;-)</p>
<p>Opted to create it under sysaccounts, that way, its  a bit hidden and unlikely to be removed accidentally.</p>
<p>I initially tried to query for group information from a system that is not enrolled to freeIPA realm. Was getting sasl error when the script is called through gitolite but the script would worked fine when I run it manually. Odd.</p>

<p>I enrolled the git server and now that problem seem to have gone away. Anyway to explain what was happening, just being curious here?<br>
><br>
> I am currently not familiar with how the git+LDAP works, but you could also add<br>
> service for it like "git/your.host.with.git@YOUR.REALM", get a keytab for it<br>
> and then let git use it to authenticate to FreeIPA.</p>
<p>Git don't have any authentication or authorization facilities, it leave that out for SSH and Apache to handle.  Gitolite is there to assist with authorization but don't handle authentication.  So one uploads a public key and which SSH uses for authentication and then gitolite take the username and check the respective groups one is authorized to use. Its this group querying that the script above is useful for.<br>

><br>
> Martin<br>
><br>
><br>
William <br>
><br>
> ------------------------------<br>
><br>
> </p>