<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Mar 12, 2017 at 4:45 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">On su, 12 maalis 2017, Robert Johnson wrote:<br>
</span><span class="gmail-"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Sorry I should have given some more information. We are trying to allow the<br>
user's from the trusted windows domain to login to the Solaris client and<br>
the only way I have found to have this work is by using the<br>
cn=compat,$SUFFIX for the passwd as this will force the ldap client to to<br>
use the slapi plugin on the ipa server.  This required using ldapclient<br>
manual on the solaris system instead of the default profile (which uses<br>
cn=accounts for passwd).<br>
<br>
ex:<br>
ldapclient list for default profile shows: (supports IPA users just fine)<br>
NS_LDAP_SEARCH_BASEDN= $SUFFIX<br>
NS_LDAP_SERVICE_SEARCH_DESC= passwd:cn=users,cn=accounts,$S<wbr>UFFIX<br>
NS_LDAP_SERVICE_SEARCH_DESC= group:cn=groups,cn=compat,$SUF<wbr>FIX<br>
<br>
ldaplist list for my manual profile shows: (supports windows users just<br>
fine)<br>
NS_LDAP_SEARCH_BASEDN= $SUFFIX<br>
NS_LDAP_SERVICE_SEARCH_DESC= passwd:cn=users,cn=compat,$SUF<wbr>FIX<br>
NS_LDAP_SERVICE_SEARCH_DESC= group:cn=groups,cn=compat,$SUF<wbr>FIX<br>
<br>
What we were trying to do is also allow IPA created user's to login to the<br>
Solaris client in addition to the windows user's.  This is where I started<br>
to run into problems with the pam_ldap module as it was detecting the<br>
duplicate entries from the "bug" above.<br>
</blockquote></span>
Thanks for the details.<br>
<br>
So, why don't you set NS_LDAP_SEARCH_BASEDN = cn=compat,$SUFFIX?<span class="gmail-HOEnZb"><font color="#888888"><br>
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br><div>I tried that and I still see the same issue. I believe the problem is that 
the duplicate entries are located in the cn=users,cn=compat tree.  The 
ldap client on the Solaris system isn't seeing any of the user's in the 
cn=accounts tree.  I think this is all related to the bug above because when I preform the ldapsearch on the compat tree, I am seeing double entries for my ipa' users.<br><br></div>Thank you for the suggestions.</div></div>