<div dir="ltr">Thanks Alexander, that got my past that error. <div><br></div><div>I created the sysaccount and I can bind successfully, but in accordance with the documentation, it doesn't have rights to modify other users:<br></div><br>Unexpected error while testing ldap test user LDAP ⇨ LDAP Directories ⇨ default ⇨ LDAP Test User, error: javax.naming.NoPermissionException: [LDAP: error code 50 - Insufficient 'write' privilege to the 'userPassword' attribute of entry 'uid=test.user,cn=users,cn=accounts,dc=ipa,dc=rdmedia,dc=com'. ]<br><div><br></div><div>This LDAP Proxy User will try to do the following things to the LDAP Test User:<br><br>"The following functionality (if enabled) will be tested using the test user account.<br><br>Authentication<br>Password policy reading<br>Set password<br>Set challenge/responses<br>Load challenge/responses"</div><div><br></div><div>What is best practice here, should I grant more privileges to the sysaccount (how?), or should I create a 'regular' user in the UI/through the ipa cli and grant the necessary roles there? <div><span style="color:rgb(51,51,51);font-family:Arial,Helvetica,sans-serif;font-size:12px"><br></span></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 20 April 2016 at 17:39, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, 20 Apr 2016, Tiemen Ruiten wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello,<br>
<br>
I'm trying to set up a self-service page for a new IPA domain and I'm<br>
trying to use PWM for that.<br>
<br>
When I try to bind to FreeIPA from within PWM, with the configured "LDAP<br>
Proxy User", I get the following error:<br>
<br>
error connecting to ldap server 'ldaps://<a href="http://polonium.ipa.rdmedia.com:636" rel="noreferrer" target="_blank">polonium.ipa.rdmedia.com:636</a>':<br>
unable to create connection: unable to bind to ldaps://<br>
<a href="http://polonium.ipa.rdmedia.com:636" rel="noreferrer" target="_blank">polonium.ipa.rdmedia.com:636</a> as<br>
cn=svcpwmproxy,cn=groups,cn=accounts,dc=ipa,dc=rdmedia,dc=com reason:<br>
[LDAP: error code 48 - Inappropriate Authentication]<br>
</blockquote></span>
You are trying to bind as a group, not as a user. Group has no<br>
passwords.<br>
<br>
You need to have a user object or just a sysaccount to bind to LDAP.<br>
See <a href="http://www.freeipa.org/page/HowTo/LDAP#System_Accounts" rel="noreferrer" target="_blank">http://www.freeipa.org/page/HowTo/LDAP#System_Accounts</a> for<br>
sysaccounts.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
In /var/log/krb5kdc.log I see:<br>
<br>
Apr 20 17:12:29 <a href="http://polonium.ipa.rdmedia.com" rel="noreferrer" target="_blank">polonium.ipa.rdmedia.com</a> krb5kdc[25760](info): AS_REQ (6<br>
etypes {18 17 16 23 25 26}) <a href="http://192.168.50.33" rel="noreferrer" target="_blank">192.168.50.33</a>: NEEDED_PREAUTH: host/<br>
<a href="mailto:protactinium.ipa.rdmedia.com@IPA.RDMEDIA.COM" target="_blank">protactinium.ipa.rdmedia.com@IPA.RDMEDIA.COM</a> for krbtgt/<br>
<a href="mailto:IPA.RDMEDIA.COM@IPA.RDMEDIA.COM" target="_blank">IPA.RDMEDIA.COM@IPA.RDMEDIA.COM</a>, Additional pre-authentication required<br>
Apr 20 17:12:29 <a href="http://polonium.ipa.rdmedia.com" rel="noreferrer" target="_blank">polonium.ipa.rdmedia.com</a> krb5kdc[25760](info): closing down<br>
fd 12<br>
Apr 20 17:12:29 <a href="http://polonium.ipa.rdmedia.com" rel="noreferrer" target="_blank">polonium.ipa.rdmedia.com</a> krb5kdc[25760](info): AS_REQ (6<br>
etypes {18 17 16 23 25 26}) <a href="http://192.168.50.33" rel="noreferrer" target="_blank">192.168.50.33</a>: ISSUE: authtime 1461165149,<br>
etypes {rep=18 tkt=18 ses=18}, host/<br>
<a href="mailto:protactinium.ipa.rdmedia.com@IPA.RDMEDIA.COM" target="_blank">protactinium.ipa.rdmedia.com@IPA.RDMEDIA.COM</a> for krbtgt/<br>
<a href="mailto:IPA.RDMEDIA.COM@IPA.RDMEDIA.COM" target="_blank">IPA.RDMEDIA.COM@IPA.RDMEDIA.COM</a><br>
Apr 20 17:12:29 <a href="http://polonium.ipa.rdmedia.com" rel="noreferrer" target="_blank">polonium.ipa.rdmedia.com</a> krb5kdc[25760](info): closing down<br>
fd 12<br>
Apr 20 17:12:29 <a href="http://polonium.ipa.rdmedia.com" rel="noreferrer" target="_blank">polonium.ipa.rdmedia.com</a> krb5kdc[25760](info): TGS_REQ (6<br>
etypes {18 17 16 23 25 26}) <a href="http://192.168.50.33" rel="noreferrer" target="_blank">192.168.50.33</a>: ISSUE: authtime 1461165149,<br>
etypes {rep=18 tkt=18 ses=18}, host/<br>
<a href="mailto:protactinium.ipa.rdmedia.com@IPA.RDMEDIA.COM" target="_blank">protactinium.ipa.rdmedia.com@IPA.RDMEDIA.COM</a> for ldap/<br>
<a href="mailto:polonium.ipa.rdmedia.com@IPA.RDMEDIA.COM" target="_blank">polonium.ipa.rdmedia.com@IPA.RDMEDIA.COM</a><br>
Apr 20 17:12:29 <a href="http://polonium.ipa.rdmedia.com" rel="noreferrer" target="_blank">polonium.ipa.rdmedia.com</a> krb5kdc[25760](info): closing down<br>
fd 12<br>
</blockquote></span>
Kerberos is completely unrelated here.<div class="HOEnZb"><div class="h5"><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
What is going on? What can I do to debug this more?<br>
<br>
<br>
-- <br>
Tiemen Ruiten<br>
Systems Engineer<br>
R&D Media<br>
</blockquote>
<br>
</div></div><span class="HOEnZb"><font color="#888888"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
-- <br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</blockquote>
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">Tiemen Ruiten<br>Systems Engineer<br>R&D Media<br></div></div>
</div>