<div dir="ltr"><div dir="ltr">On Wed, Jan 9, 2019 at 3:01 AM Christian Meutes <<a href="mailto:christian@errxtx.net">christian@errxtx.net</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>we are using EAP authentication (802.1x) inside of  'AuthBy LDAP2', and that surrounded by another 'AuthBy Group'.</div></div></div></div></div></blockquote></div><div><br></div><div>EAP was meant to say EAP-TLS. The CN of the user's certificate is slightly modified by RewriteUsername in the 'AuthBy Group' (which seems to mean that the AuthBy Group is called twice), and then used as lookup attribute again in the LDAP query.</div><div><br></div>--<br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr">Christian</div></div></div></div></div></div></div>