Descobri:
No IPA, criou o usuário "jenkins" e adicionou ao "jenkins-usergroup" (para uso como gerenciador dn / password abaixo)
=== Configurações do Jenkins ===
Reino da segurança
LDAP
server: ldap://ipa01.test.lan
root dn: dc=test,dc=lan
user search base: cn=users,cn=accounts
uid={0}
group search base: (BLANK)
group search filter: (BLANK)
group membership: "search for ldap groups containing user"
group membership filter: (BLANK)
gerente dn: uid = jenkins, cn = usuários, cn = contas, dc = teste, dc = lan
senha do gerenciador: (SENHA FIM PARA "jenkins" IN IPA)
exibir o nome do atributo ldap: displayname
atributo ldap do endereço de e-mail: mail
Autorização
matrix-based security
user/group
Anonymous - uncheck all permissions
jenkins-usergroup - check all permissions (or whatever you want)