Парочка моментов при установке FreeIPA

чтобы не ругался на уже делегированный домен при установке делаем

ipa-server-install —allow-zone-overlap

если есть готовый серт, то
ставим цепочку

ipa-cacert-manage install chain.pem

обновляем базу CA

ipa-certupdate

ставим свой серт

ipa-server-certinstall -d mycert.pkcs12

рестарт всех сервисов

ipactl restart

А теперь самое главное. Чтобы битрикс мог залогиниться, для него создаем отдельного юзера в freeipa. А в битриксе в поле логин указываем его не так как там написано, иначе будешь получать вечную ошибку ldap_bind: Invalid credentials (49), а вот так:
uid=b24,cn=users,cn=accounts,dc=mycompany,dc=ru

ну и на закладке «настройка полей» кликнуть LDAP, email заменить на mail

Это всё.