Здравствуйте. 

Дописываем сейчас некоторые дополнения к IPA (RHEL v 6.4). Сервер IPA выступает контроллером домена и включает в себя LDAP. 

Представьте, что пользователь аутентифицируется в IPA для непродолжительной работы (это может происходить с машин с разными IP адресами). Существует ли возможность узнать как-нибудь у системных сервисов, какой именно username аутентифицирован с данного IP адреса в настоящее время. То есть сопоставить IP и username. 

В ldapsearch на первый взгляд, такое не заложено. Можно искать по hostname и MAC-address, однако у нас всё динамическое, юзеры могут выходить с разных компьютеров. 

Спасибо!  

копайте в направлении анализа дневников (лог файлов).
технически можно это записывать обратно в каталог, но LDAP сервис не должен хранить в каталоге такую информацию.
(во первых, это бардак и мусор, а во-вторых, величина каталога вырастет не по детски, и не факт что сервис будет быстро работать. + бэкапить весь этот мусор....)

UPD
Возможно, кто-то ещё столкнётся с этой проблемой. Этот вопрос я задал около месяца назад создателю IPA, приехавшему в Москву с лекциями. Ответ (актуальный для версии 3.1): никак.