<div dir="ltr">hi,<br><br><div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 3, 2016 at 10:57 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class=""><div class="h5">Natxo Asenjo wrote:<br>
</div></div></blockquote><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class=""><div class="h5">> Using EXTERNAL, no cookie:<br>
> $ ldapsearch -h kdc.sub.domain.tld -ZZ -Y EXTERNAL -LLL<br>
> objectclass=person -s sub -b dc=sub,dc=domain,dc=tld cn<br>
> SASL/EXTERNAL authentication started<br>
> ldap_sasl_interactive_bind_s: Invalid credentials (49)<br>
>     additional info: client certificate mapping failed<br>
><br>
> I came accross this page in the 389 wiki:<br>
><br>
> <a href="http://directory.fedoraproject.org/docs/389ds/howto/howto-certmapping.html" rel="noreferrer" target="_blank">http://directory.fedoraproject.org/docs/389ds/howto/howto-certmapping.html</a><br>
><br>
> But I am not really sure how to accomplish this.<br>
><br>
> Is this possible in freeipa?<br>
<br>
</div></div>I don't see why not. You just need to be able to map the subject of the<br>
cert to a single entry. That's what certmap.conf attempts to do.<br>
 <br></blockquote><div><br></div><div>ok, I got it working  but it took some effort.<br><br></div><div>Let's see, in certmap.conf the config is like this out of the box:<br><br>certmap default         default<br>#default:DNComps<br>#default:FilterComps    e, uid<br>#default:verifycert     on<br>#default:CmapLdapAttr   certSubjectDN<br>#default:library        <path_to_shared_lib_or_dll><br>#default:InitFn         <Init function's name><br>default:DNComps<br>default:FilterComps     uid<br>certmap ipaca           CN=Certificate Authority,O=SUB.DOMAIN.TLD<br>ipaca:CmapLdapAttr      seeAlso<br>ipaca:verifycert        on<br></div><div> <br></div><div>So, there is an additional mapping for ipaca, which is handy. But the CmapLdapAttr points to 'seeAlso', and if you change that to usercertificate;binary (where the usercertificates are), the tomcat pki service will no longer start because <br><br>DN: uid=pkidbuser,ou=people,o=ipaca<br></div><div><br></div><div>has this seealso attribute: CN=CA Subsystem,O=SUB.DOMAIN.TLD<br><br></div>so we cannot change te cmapldapattr to something else, but we can add a seealso attribute to the user account, like cn=username,o=SUB.DOMAIN.TLD . And then it works.<br><br></div><div class="gmail_quote">This could be very handy for web applications.<br><br></div><div class="gmail_quote">Nice. Thanks for the pointer.<br><br></div><div class="gmail_quote">Regards,<br></div><div class="gmail_quote">Natxo<br></div></div></div></div>