Hi,<br><br>I have done the modifications as suggested, but no luck, getting the same error.<br><br># kinit admin<br># ipa-addservice host/<a href="http://bmdata01.testing.com">bmdata01.testing.com</a><br># ipa-getkeytab -s <a href="http://viji.testing.com">viji.testing.com</a> -p host/<a href="http://bmdata01.testing.com">bmdata01.testing.com</a> -k /etc/krb5.keytab<br>
<br>Could you please elaborate the steps which you have done to get it working on both the client and server side?<br><br>Thanks<br>Viji<br><br><div class="gmail_quote">On Tue, Dec 30, 2008 at 11:46 PM, Kozlov <span dir="ltr"><<a href="mailto:mackoel@gmail.com">mackoel@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Hi,<br>
<br>
The minor comment is that kadmin is supposed to be substituted with ipa-addservice.<br>
<br>
The major comment is that you've missed ipa-getkeytab on ipaserver that actually SETS password that you then install on winxp.<br>
<br>
And try to map  all users to one: for example,<br>
"* Administrator".<br>
<br>
Best regards,<br>
<br>
Kostya<br>
<br>
Viji V Nair пишет:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="Ih2E3d">
Hi,<br>
<br>
Thank you for the information, I have tried all these steps, but no success<br>
<br>
1. On the IPA Server I have created a host principal using the following command.<br>
<br></div>
# kadmin -q "ank host/<a href="http://bmdata01.testing.com" target="_blank">bmdata01.testing.com</a> <<a href="http://bmdata01.testing.com" target="_blank">http://bmdata01.testing.com</a>>"<div class="Ih2E3d">
<br>
<br>
2. On the windows xp client<br>
<br></div>
C:> ksetup /setrealm <a href="http://TESTING.COM" target="_blank">TESTING.COM</a> <<a href="http://TESTING.COM" target="_blank">http://TESTING.COM</a>><br>
C:> ksetup /addkdc <a href="http://TESTING.COM" target="_blank">TESTING.COM</a> <<a href="http://TESTING.COM" target="_blank">http://TESTING.COM</a>> <a href="http://viji.bigmaps.com" target="_blank">viji.bigmaps.com</a> <<a href="http://viji.bigmaps.com" target="_blank">http://viji.bigmaps.com</a>><br>

C:> ksetup /setmachpassword <password><br>
C:> ksetup /mapuser <a href="mailto:admin@TESTING.COM" target="_blank">admin@TESTING.COM</a> <mailto:<a href="mailto:admin@TESTING.COM" target="_blank">admin@TESTING.COM</a>> guest<br>
C:> ksetup /mapuser * *<br>
<br>
After the above setup windows is showing <a href="http://TESTING.COM" target="_blank">TESTING.COM</a> <<a href="http://TESTING.COM" target="_blank">http://TESTING.COM</a>> as a Kerberos Realm on the login screen, but when I try to login using the user name "admin" it is throwing the following error.<div class="Ih2E3d">
<br>
<br>
"The system could not log you on. Make sure your user name and domain are correct, and then type your password again. Letters in passwords must be typed using the correct case."<br>
<br>
But the IPA (kerberos) server is issuing the tickets, the log shows:<br>
<br></div>
Dec 30 22:36:03 <a href="http://viji.testing.com" target="_blank">viji.testing.com</a> <<a href="http://viji.testing.com" target="_blank">http://viji.testing.com</a>> krb5kdc[5179](info): AS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 172.16.33.112 <<a href="http://172.16.33.112" target="_blank">http://172.16.33.112</a>>: NEEDED_PREAUTH: <a href="mailto:admin@TESTING.COM" target="_blank">admin@TESTING.COM</a> <mailto:<a href="mailto:admin@TESTING.COM" target="_blank">admin@TESTING.COM</a>> for krbtgt/<a href="http://TESTING.COM" target="_blank">TESTING.COM</a> <<a href="http://TESTING.COM" target="_blank">http://TESTING.COM</a>>@<a href="http://TESTING.COM" target="_blank">TESTING.COM</a> <<a href="http://TESTING.COM" target="_blank">http://TESTING.COM</a>>, Additional pre-authentication required<br>

Dec 30 22:36:03 <a href="http://viji.testing.com" target="_blank">viji.testing.com</a> <<a href="http://viji.testing.com" target="_blank">http://viji.testing.com</a>> krb5kdc[5179](info): AS_REQ (3 etypes {23 3 1}) 172.16.33.112 <<a href="http://172.16.33.112" target="_blank">http://172.16.33.112</a>>: ISSUE: authtime 1230656763, etypes {rep=23 tkt=18 ses=23}, <a href="mailto:admin@TESTING.COM" target="_blank">admin@TESTING.COM</a> <mailto:<a href="mailto:admin@TESTING.COM" target="_blank">admin@TESTING.COM</a>> for krbtgt/<a href="http://TESTING.COM" target="_blank">TESTING.COM</a> <<a href="http://TESTING.COM" target="_blank">http://TESTING.COM</a>>@<a href="http://TESTING.COM" target="_blank">TESTING.COM</a> <<a href="http://TESTING.COM" target="_blank">http://TESTING.COM</a>><br>

Dec 30 22:36:03 <a href="http://viji.testing.com" target="_blank">viji.testing.com</a> <<a href="http://viji.testing.com" target="_blank">http://viji.testing.com</a>> krb5kdc[5179](info): TGS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 172.16.33.112 <<a href="http://172.16.33.112" target="_blank">http://172.16.33.112</a>>: ISSUE: authtime 1230656763, etypes {rep=23 tkt=18 ses=23}, <a href="mailto:admin@TESTING.COM" target="_blank">admin@TESTING.COM</a> <mailto:<a href="mailto:admin@TESTING.COM" target="_blank">admin@TESTING.COM</a>> for host/<a href="http://bmdata01.testing.com" target="_blank">bmdata01.testing.com</a> <<a href="http://bmdata01.testing.com" target="_blank">http://bmdata01.testing.com</a>>@<a href="http://TESTING.COM" target="_blank">TESTING.COM</a> <<a href="http://TESTING.COM" target="_blank">http://TESTING.COM</a>><div class="Ih2E3d">
<br>
<br>
I have found some article on Microsoft website, saying this is a bug and apply the latest service pack (SP3), I even tried that, but no success.<br>
<br>
<a href="http://support.microsoft.com/kb/825081" target="_blank">http://support.microsoft.com/kb/825081</a><br>
<br>
Similar Thread: <a href="http://mailman.mit.edu/pipermail/kerberos/2006-May/009890.html" target="_blank">http://mailman.mit.edu/pipermail/kerberos/2006-May/009890.html</a><br>
<br>
Thanks & Regards<br>
<br>
Viji<br>
<br>
<br></div><div><div></div><div class="Wj3C7c">
On Mon, Dec 29, 2008 at 6:35 PM, Konstantin Kozlov <<a href="mailto:kozlov@spbcas.ru" target="_blank">kozlov@spbcas.ru</a> <mailto:<a href="mailto:kozlov@spbcas.ru" target="_blank">kozlov@spbcas.ru</a>>> wrote:<br>

<br>
    Hi,<br>
<br>
    You can search the list for a similar thread and here are the steps<br>
    I've followed with success:<br>
<br>
    Add host principal for winxp machine with the encoding des-cbc-crc<br>
    and passowrd (-P ioption for ipa-getkeytab). Do not store this<br>
    keytab in /etc/krb5.keytab but rather in some other file.<br>
<br>
    Install MS Support Tools on WinXP, and run<br>
<br>
    ksetup /setdomain ...<br>
    ksetup /addkdc ...<br>
    ksetup /setcomputerpassword ...<br>
    ksetup /mapuser * <your user><br>
<br>
    WinXP machine asks to login to Kerberos realm at login screen.<br>
<br>
    I failed to map one ipa-user to one win-user. But may be because I<br>
    didn't have enough time. If you will succeed - leave a note here please.<br>
<br>
    Best regards,<br>
<br>
    Kostya<br>
<br>
    Viji V Nair wrote:<br>
<br>
        Hi,<br>
<br>
        I am a new user of free-ipa, I have installed the free-ipa<br>
        packages shipped with fedora 10. I have more that 100 windows<br>
        clients to authenticate. Here is my problem,<br>
<br>
        All the clients are XP SP2, I have installed MIT Kerberos for<br>
        Windows 3.2.2. Always the native windows login prompt appears<br>
        first, when i login to windows the kerberos client is asking for<br>
        authentication.<br>
<br>
        I want to replace this windows authentication with kerberos<br>
<br>
        Any help on the same will be greatly appreciated.<br>
<br>
        Thanks<br>
        Viji<br>
<br>
<br>
        ------------------------------------------------------------------------<br>
<br>
        _______________________________________________<br>
        Freeipa-users mailing list<br></div></div>
        <a href="mailto:Freeipa-users@redhat.com" target="_blank">Freeipa-users@redhat.com</a> <mailto:<a href="mailto:Freeipa-users@redhat.com" target="_blank">Freeipa-users@redhat.com</a>><div class="Ih2E3d"><br>

        <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
<br>
<br>
<br>
    --     Konstantin Kozlov<br>
    Department of Computational Biology,<br>
    Center for Advanced Studies,<br>
    SPb State Polytechnical University,<br>
    195251, Polytechnicheskaya ul., 29,<br>
    bld 4, office 204,<br>
    St.Petersburg, Russia.<br>
<br>
    Tel./fax: +7 812 596 2831<br>
<br>
    _______________________________________________<br>
    Freeipa-users mailing list<br></div>
    <a href="mailto:Freeipa-users@redhat.com" target="_blank">Freeipa-users@redhat.com</a> <mailto:<a href="mailto:Freeipa-users@redhat.com" target="_blank">Freeipa-users@redhat.com</a>><div class="Ih2E3d"><br>
    <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
<br>
<br>
</div></blockquote>
<br>
</blockquote></div><br>