<div dir="ltr">Hi Cal,<div><br></div><div>Does a kinit work from a terminal? Does it work if you use "kinit user" or just if you use "kinit user@REALM.suffix"</div><div><br></div><div>-- john</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-12-20 15:09 GMT+01:00 Cal Sawyer <span dir="ltr"><<a href="mailto:cal-s@blue-bolt.com" target="_blank">cal-s@blue-bolt.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi, all<br>
<br>
I'm attempting to set up LDAP auth (against IPA server 4.10) from a OSX 10.10.5 (Yosemite) client<br>
<br>
Using the excellent instructions at <a href="http://linsec.ca/Using_FreeIPA_for_User_Authentication#Mac_OS_X_10.7.2F10.8%20%22Linsec.ca%20tutorial%20for%20connecting%20Mac%20OS%2010.7%20to%20IPA%20Server" rel="noreferrer" target="_blank">http://linsec.ca/Using_FreeIPA_for_User_Authentication#Mac_OS_X_10.7.2F10.8%20%22Linsec.ca%20tutorial%20for%20connecting%20Mac%20OS%2010.7%20to%20IPA%20Server</a>, I've populated the specified files, d/l'd the cert, am able to configure Users and Groups objects/attribs and browse both from within OSX's Directory Utility.    ldapsearch similarly returns the expected results.<br>
<br>
In spite of this, i'm unable to authenticate as any IPA-LDAP user on this system<br>
<br>
dirsrv log on the ipa master shows no apparent errors - remote auth attempts exit with "RESULT err=0 tag=101 nentries=1 etime=0", but tell the truth, there so much stuff there and being rather inexperienced with LDAP diags i might easily be missing something in the details<br>
<br>
The <a href="http://linsec.ca" rel="noreferrer" target="_blank">linsec.ca</a> instructions were written in the 10.7-10.8 era so something may have changed since.  Having said that, we've had no problems authenticating against our existing OpenLDAP server (which IPA is slated to replace) right up to 10.10.5 with no zero to our Directory Utility setup.<br>
<br>
Hoping someone here has some contemporary experience with OSX and IPA and for whom this issue rings a bell?<br>
<br>
many thanks<span class="HOEnZb"><font color="#888888"><br>
<br>
Cal Sawyer | Systems Engineer | BlueBolt Ltd<br>
15-16 Margaret Street | London W1W 8RW<br>
<a href="tel:%2B44%20%280%2920%207637%205575" value="+442076375575" target="_blank">+44 (0)20 7637 5575</a> | <a href="http://www.blue-bolt.com" rel="noreferrer" target="_blank">www.blue-bolt.com</a><br>
        <br>
<br>
-- <br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div>