<div dir="ltr">I have updated the gist using the PWM documentation I found to do just that.  Let me know if that is more acceptable.  I'm feeling my way through this, please pardon my lack of savoir-faire.<div><br></div><div>See latest at <a href="https://gist.github.com/PowerWagon/d794a1233d7943f1614d2ae5223e678a">https://gist.github.com/PowerWagon/d794a1233d7943f1614d2ae5223e678a</a></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><p style="MARGIN-BOTTOM:3pt"><font size="2"><b><span style="font-family:'Arial','sans-serif';color:blue">Jason 
Elwell</span></b></font><span style="FONT-FAMILY:'Arial','sans-serif';COLOR:#1f497d"></span></p>
<p style="MARGIN-BOTTOM:3pt"><b><span style="FONT-FAMILY:'Arial','sans-serif';COLOR:navy;FONT-SIZE:7pt">Office: 
205-298-3731 </span></b></p>
<p style="MARGIN-BOTTOM:3pt"><b><span style="FONT-FAMILY:'Arial','sans-serif';COLOR:navy;FONT-SIZE:7pt">Cell: 
205-603-4195 </span></b></p>
<p style="LINE-HEIGHT:7pt;MARGIN-BOTTOM:6pt"><span style="FONT-FAMILY:'Arial','sans-serif';COLOR:navy;FONT-SIZE:7pt"><a href="mailto:elwellj@vmcmail.com" target="_blank"><span style="COLOR:blue">elwellj@vmcmail.com</span></a></span><span style="COLOR:#1f497d"></span></p>
<p><span style="FONT-FAMILY:'Arial','sans-serif';COLOR:navy;FONT-SIZE:7pt">E-mail 
Confidentiality Footer</span><span style="COLOR:#1f497d"></span></p>
<p><span style="FONT-FAMILY:'Arial','sans-serif';COLOR:navy;FONT-SIZE:7pt">Privileged/Confidential 
Information may be contained in this message. If you are not the addressee 
indicated in this message (or responsible for delivery of the message to such 
person), you may not copy or deliver this message to anyone. In such case, you 
should destroy this message, and notify the sender immediately. If you or your 
employer does not consent to e-mail messages of this kind, please advise the 
sender immediately. Opinions, conclusions and other information expressed in 
this message are not given or endorsed by employer unless otherwise indicated by 
an authorized representative independent of this message</span><span style="COLOR:#1f497d"></span></p></div></div></div>
<br><div class="gmail_quote">On Tue, Oct 25, 2016 at 9:01 AM, Simo Sorce <span dir="ltr"><<a href="mailto:simo@redhat.com" target="_blank">simo@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Sun, 2016-10-23 at 12:22 -0500, Elwell, Jason wrote:<br>
> I posted this on the PWM boards, and figured I'd send this along here,<br>
> too.  I'm looking for feedback on this.  Let me know if you find this<br>
> accurate and/or valuable.  Thanks!<br>
><br>
><br>
> PWM setup for FreeIPA<br>
> <a href="https://gist.github.com/PowerWagon/d794a1233d7943f1614d2ae5223e678a" rel="noreferrer" target="_blank">https://gist.github.com/<wbr>PowerWagon/<wbr>d794a1233d7943f1614d2ae5223e67<wbr>8a</a><br>
><br>
> PwmConfiguration-template.xml<br>
> <a href="https://gist.github.com/PowerWagon/0e83a0c5b67316a6987944b76eb103bc" rel="noreferrer" target="_blank">https://gist.github.com/<wbr>PowerWagon/<wbr>0e83a0c5b67316a6987944b76eb103<wbr>bc</a><br>
<br>
</div></div>Jason,<br>
It seems to me your ACIs are too lax, you should also make the PWM user<br>
a password synchronization agent and not just give it blanket access to<br>
read everything from the directory and write every password, you should<br>
limit it to users for example and not allow it to change service's or<br>
host's "passwords".<br>
<span class="HOEnZb"><font color="#888888"><br>
Simo.<br>
<br>
--<br>
Simo Sorce * Red Hat, Inc * New York<br>
<br>
</font></span></blockquote></div><br></div>