<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></head><body><div style="font-family:Courier New,courier,monaco,monospace,sans-serif;font-size:12pt"><div>"Except that I didn't tell you to start kadmin, I was worried you did :-/"<br><br>Doh! I was so excited I damn near skipped through the hallway. Back to the drawing board :)<br><br>So I believe i will need to do something like<br>ipa-getkeytab -s auth01.mydom.com -p  <kpasswd/auth01.. ?? > -k ???<br><br>I'm just sure what exactly i broke.<br><br><br></div><div style="font-family: Courier New,courier,monaco,monospace,sans-serif; font-size: 12pt;"><br><div style="font-family: arial,helvetica,sans-serif; font-size: 13px;"><font size="2" face="Tahoma"><hr size="1"><b><span style="font-weight: bold;">From:</span></b> Simo Sorce <ssorce@redhat.com><br><b><span style="font-weight: bold;">To:</span></b> Dumbo Q <dumboq@yahoo.com><br><b><span style="font-weight:
 bold;">Cc:</span></b> Christian Horn <chorn@fluxcoil.net>; freeipa-users@redhat.com<br><b><span style="font-weight: bold;">Sent:</span></b> Thursday, June 4, 2009 5:20:39 PM<br><b><span style="font-weight: bold;">Subject:</span></b> Re: [Freeipa-users] Trouble with new installation<br></font><br>On Thu, 2009-06-04 at 14:02 -0700, Dumbo Q wrote:<br>> Alright, now im starting to get somewhere!<br>> kadmin was not running, and I was getting<br>> Jun 04 16:05:00 auth01.mydom.com krb5kdc[4001](info): AS_REQ (12<br>> etypes {18 17 16 23 1 3 2 11 10 15 12 13}) 10.30.1.53: NEEDED_PREAUTH:<br>> <a ymailto="mailto:test@MYDOM.COM" href="mailto:test@MYDOM.COM">test@MYDOM.COM</a> for kadmin/<a ymailto="mailto:changepw@MYDOM.COM" href="mailto:changepw@MYDOM.COM">changepw@MYDOM.COM</a>, Additional<br>> pre-authentication required<br>> Jun 04 16:05:00 auth01.mydom.com krb5kdc[4001](info): AS_REQ (12<br>> etypes {18 17 16 23 1 3 2 11 10 15
 12 13}) 10.30.1.53: ISSUE: authtime<br>> 1244145900, etypes {rep=18 tkt=18 ses=18}, <a ymailto="mailto:test@MYDOM.COM" href="mailto:test@MYDOM.COM">test@MYDOM.COM</a> for<br>> kadmin/<a ymailto="mailto:changepw@MYDOM.COM" href="mailto:changepw@MYDOM.COM">changepw@MYDOM.COM</a><br>> Jun 04 16:05:08 auth01.mydom.com krb5kdc[4001](info): AS_REQ (12<br>> etypes {18 17 16 23 1 3 2 11 10 15 12 13}) 10.30.1.53: NEEDED_PREAUTH:<br>> kadmin/<a ymailto="mailto:changepw@MYDOM.COM" href="mailto:changepw@MYDOM.COM">changepw@MYDOM.COM</a> for krbtgt/<a ymailto="mailto:MYDOM.COM@MYDOM.COM" href="mailto:MYDOM.COM@MYDOM.COM">MYDOM.COM@MYDOM.COM</a>, Additional<br>> pre-authentication required<br>> Jun 04 16:05:08 auth01.mydom.com krb5kdc[4001](info): AS_REQ (12<br>> etypes {18 17 16 23 1 3 2 11 10 15 12 13}) 10.30.1.53: ISSUE: authtime<br>> 1244145908, etypes {rep=18 tkt=18 ses=18}, kadmin/<a ymailto="mailto:changepw@MYDOM.COM"
 href="mailto:changepw@MYDOM.COM">changepw@MYDOM.COM</a><br>> for krbtgt/<a ymailto="mailto:MYDOM.COM@MYDOM.COM" href="mailto:MYDOM.COM@MYDOM.COM">MYDOM.COM@MYDOM.COM</a><br>> Jun 04 16:05:08 auth01.mydom.com krb5kdc[4001](info): TGS_REQ (7<br>> etypes {18 17 16 23 1 3 2}) 10.30.1.53: ISSUE: authtime 1244145908,<br>> etypes {rep=18 tkt=18 ses=18}, kadmin/<a ymailto="mailto:changepw@MYDOM.COM" href="mailto:changepw@MYDOM.COM">changepw@MYDOM.COM</a> for<br>> ldap/<a ymailto="mailto:auth01.mydom.com@MYDOM.COM" href="mailto:auth01.mydom.com@MYDOM.COM">auth01.mydom.com@MYDOM.COM</a><br>> <br>> /sbin/service kadmin start<br>> /sbin/chkconfig kadmin on <br>> now it hangs for a minute when changing the password, and I see the<br>> following in /var/log/messages.<br>> Jun  4 16:47:02 auth01 kpasswd[19933]: Unable to read request: Key<br>> version number for principal in key table is incorrect<br>> Jun  4 16:47:10
 auth01 kpasswd[19935]: Unable to read request: Key<br>> version number for principal in key table is incorrect<br>> Jun  4 16:47:19 auth01 kpasswd[19951]: Unable to read request: Key<br>> version number for principal in key table is incorrect<br>> <br>> Note:  the above messages messages where from using the passwd<br>> command.  (In my previous posts i usually try passwd, kpasswd, and<br>> ipa-passwd).<br>> <br>> I tried again with ipa-passwd and it worked right away!  Did an<br>> ldapsearch and can see that my expiration is now 200909...<br>> <br>> Thanks everyone for your help with this.<br><br>Except that I didn't tell you to start kadmin, I was worried you did :-/<br>Now you have broken your installation, you are supposed to use<br>ipa-kpasswd not kadmin as kadmin has other unwanted properties, like the<br>fact that it will not create a hash for simple binds to the ldap server,<br>and will not
 use the ipa defined password policies.<br><br>You will now have to fix the installation so that ipa-kpasswd has the<br>right keytab.<br><br>> Two more questions while on this topic.<br>> 1. Is it to be expected that passwords should be changed using<br>> ipa-password and not regular passwd?<br><br>no, you should use regular passwd or, at most kpasswd, ipa-passwd is for<br>admin purposes.<br><br>> 2. Is there any documentation that shows the technical layout of how<br>> things are supposed to work, including the services and how they all<br>> integrate together?   I found a diagram online but it was very top<br>> level and didn't explain much more then I could have guessed without<br>> any ldap or kerberos experience.  I would create this myself, but I am<br>> clearly not the one for the task :)<br><br>All we have is published on freeipa.org sorry.<br><br><br>Simo.<br><br><br><br>-- <br>Simo Sorce * Red Hat, Inc * New
 York<br><br></div></div></div><br>



      </body></html>