I've setup some OSX (10.9 + 10.10) machines to authenticate against IPA (centos 7.x), and like you I've followed the <a href="http://linsec.ca">linsec.ca</a> tutorial precisely. I haven't had problems login in as an IPA user on any system I have setup, so I'm afraid this reply is pretty useless to you.<br><br>Only issue that I had, that the <a href="http://linsec.ca">linsec.ca</a> tutorial didn't mention, was support for nested groups. I managed to figure it out, by adding this Group object/attribute:<br><br>GroupMemberShip / memberUid<br><br>Sorry I can't help you, just wanted to let you know it is possible to use.<br><br>Best regards,<br>Ejner Fergo<br><br>On Sunday, December 20, 2015, Cal Sawyer <<a href="mailto:cal-s@blue-bolt.com">cal-s@blue-bolt.com</a>> wrote:<br>> Hi, all<br>><br>> I'm attempting to set up LDAP auth (against IPA server 4.10) from a OSX 10.10.5 (Yosemite) client<br>><br>> Using the excellent instructions at <a href="http://linsec.ca/Using_FreeIPA_for_User_Authentication#Mac_OS_X_10.7.2F10.8%20%22Linsec.ca%20tutorial%20for%20connecting%20Mac%20OS%2010.7%20to%20IPA%20Server">http://linsec.ca/Using_FreeIPA_for_User_Authentication#Mac_OS_X_10.7.2F10.8%20%22Linsec.ca%20tutorial%20for%20connecting%20Mac%20OS%2010.7%20to%20IPA%20Server</a>, I've populated the specified files, d/l'd the cert, am able to configure Users and Groups objects/attribs and browse both from within OSX's Directory Utility.    ldapsearch similarly returns the expected results.<br>><br>> In spite of this, i'm unable to authenticate as any IPA-LDAP user on this system<br>><br>> dirsrv log on the ipa master shows no apparent errors - remote auth attempts exit with "RESULT err=0 tag=101 nentries=1 etime=0", but tell the truth, there so much stuff there and being rather inexperienced with LDAP diags i might easily be missing something in the details<br>><br>> The <a href="http://linsec.ca">linsec.ca</a> instructions were written in the 10.7-10.8 era so something may have changed since.  Having said that, we've had no problems authenticating against our existing OpenLDAP server (which IPA is slated to replace) right up to 10.10.5 with no zero to our Directory Utility setup.<br>><br>> Hoping someone here has some contemporary experience with OSX and IPA and for whom this issue rings a bell?<br>><br>> many thanks<br>><br>> Cal Sawyer | Systems Engineer | BlueBolt Ltd<br>> 15-16 Margaret Street | London W1W 8RW<br>> +44 (0)20 7637 5575 | <a href="http://www.blue-bolt.com">www.blue-bolt.com</a><br>>        <br>><br>> --<br>> Manage your subscription for the Freeipa-users mailing list:<br>> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>> Go to <a href="http://freeipa.org">http://freeipa.org</a> for more info on the project<br>>