<div dir="ltr"><div><div><div><div>hi,<br><br></div>I am testing certificate authentication to ipa ldap ( centos 7.2 ).<br><br></div>I have generated a user certificate following the instructions on <a href="https://blog-ftweedal.rhcloud.com/2015/08/user-certificates-and-custom-profiles-with-freeipa-4-2/">https://blog-ftweedal.rhcloud.com/2015/08/user-certificates-and-custom-profiles-with-freeipa-4-2/</a><br><br></div>After that I modified my $HOME/.ldaprc with these settings:<br><br>TLS_CERT /path/to/user10.pem<br>TLS_KEY /path/to/user10.key<br><br></div><div>The certificate has this subject:<br>$ openssl x509 -in user10.pem -subject -noout <br>subject= /O=SUB.DOMAIN.TLD/CN=user10<br><br></div>Then I try ldapsearch:<br><br>using GSSAPI, ldapsearch works fine:<br>ldapsearch -h kdc1.sub.domain.tld -ZZ -Y GSSAPI objectclass=person -s sub -b dc=sub,dc=domain,dc=tld cn<br><br>....<br># search result<br>search: 5<br>result: 0 Success<br><br># numResponses: 1002<br># numEntries: 1001<br><br>Using EXTERNAL, no cookie:<br>$ ldapsearch -h kdc.sub.domain.tld -ZZ -Y EXTERNAL -LLL objectclass=person -s sub -b dc=sub,dc=domain,dc=tld cn<br>SASL/EXTERNAL authentication started<br>ldap_sasl_interactive_bind_s: Invalid credentials (49)<br>    additional info: client certificate mapping failed<br clear="all"><div><div><div><div><div><div><br></div><div>I came accross this page in the 389 wiki:<br><br><a href="http://directory.fedoraproject.org/docs/389ds/howto/howto-certmapping.html">http://directory.fedoraproject.org/docs/389ds/howto/howto-certmapping.html</a><br><br></div><div>But I am not really sure how to accomplish this.<br><br></div><div>Is this possible in freeipa?<br><br></div><div>Thanks in advance.<br><br></div><div>Regards,<br></div><div>Natxo<br></div><div><br></div></div></div></div></div></div></div>