<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: Arial; font-size: 10pt; color: #000000'>Rob Crittenden: Thank you for your help!<br><br>This is RESOLVED, and I want to make some notes here, because finding the magic combination of syntax has been... trying.<br><br>Products affected:<br><br>    FreeIPA 2.0.1, Zimbra 7.1 OSE<br><br>NOTES: 'humperdinck' is my IPA server and 'z7' is my Zimbra Collaboration Server. I'm NOT removing my real values, because think docs work better when you just paste in what you really used.<br><br>0. From a shell prompt on the Zimbra server, import the CA certificate, and restart Zimbra services.<br><br>    $ wget http://humperdinck.rmsel.org/ipa/errors/ca.crt<br>    $ mv ca.crt humperdinck_ca.crt<br>    $ sudo /opt/zimbra/java/bin/keytool -import -alias humperdinck_ca -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file humperdinck_ca.crt<br>    $ sudo su - zimbra<br>    $ zmcontrol stop && zmcontrol start<br><br>1. From the Zimbra admin console, connect a domain to the IPA server for external LDAP authentication.<br><br>    On the left, under Configuration, expand Domains, and select (click) the Domain you want to authenticate with IPA.<br>    In the toolbar, click "Configure Authentication"<br>    In the drop-down list-box, choose "External LDAP"<br>    Type your IPA server's FQDN in "LDAP Server name:", do NOT check "Use SSL", check "Enable StartTLS"<br>    LDAP Filter is exactly this, WITH parentheses, and NO spaces.<br>        (uid=%u)<br>    My LDAP Search Base is exactly this, with NO parentheses, and NO spaces. You'll need to change the domain components, of course.<br>        cn=accounts,dc=rmsel,dc=org<br>    Click "next" TWICE (ie: do NOT check "Use DN/Password to bind to external server")<br>    Enter a username or full email and the matching password. (must be valid, NON-EXPIRED credentials)<br>        dlwillson<br>        **********<br>    Click Test. Celebrate.<br><br>2. If you're not celebrating, use the same credentials with kinit at the shell prompt on any Kerberos client machine to confirm validity.<br>    kinit dlwillson<br>    enter password<br><br>3. If the credentials are valid, use ldapsearch from the shell on your Zimbra server to test LDAP binding/searching.<br>    $ sudo su - zimbra<br>    $ ldapsearch --help<br>    $ ldapsearch -D "uid=dlwillson,cn=users,cn=accounts,dc=rmsel,dc=org" -w '**********' -b "cn=accounts,dc=rmsel,dc=org" -h humperdinck.rmsel.org -v -ZZ "uid=dlwillson"<br><br>4. I hope you're celebrating by now, because if not, you're in for a rough time, perhaps.<br><br>HTH, cheers, YMMV, YATLTL<br><br>--<br>David<br></div></body></html>