<div>I have a WinXP client configured to authenticate now but it looks like FreeIPA is sending the ticket encrypted with AES and XP does not support AES. The user is getting authenticated, just not able to decrypt the ticket.<br>

</div><div><br></div><div>Sep 19 19:50:36 csp-idm.pdh.csp krb5kdc[1246](info): AS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) <a href="http://192.168.201.150">192.168.201.150</a>: NEEDED_PREAUTH: oper@PDH.CSP for krbtgt/PDH.CSP@PDH.CSP, Additional pre-authentication required<br>

Sep 19 19:50:36 csp-idm.pdh.csp krb5kdc[1246](info): AS_REQ (1 etypes {23}) <a href="http://192.168.201.150">192.168.201.150</a>: ISSUE: authtime 1316461836, etypes {rep=23 tkt=18 ses=23}, oper@PDH.CSP for krbtgt/PDH.CSP@PDH.CSP<br>

Sep 19 19:50:37 csp-idm.pdh.csp krb5kdc[1246](info): TGS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) <a href="http://192.168.201.150">192.168.201.150</a>: ISSUE: authtime 1316461836, etypes {rep=23 tkt=18 ses=23}, oper@PDH.CSP for host/crm1.pdh.csp@PDH.CSP<br>

<br></div><br><div class="gmail_quote">On Mon, Sep 19, 2011 at 1:32 PM, Simo Sorce <span dir="ltr"><<a href="mailto:simo@redhat.com">simo@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<div class="im">On Mon, 2011-09-19 at 13:05 -0400, Jimmy wrote:<br>
> Once I changed the password for 'admin' I now get this error on the<br>
> windows system:<br>
><br>
><br>
><br>
> Insufficient system resources exist to complete the requested service<br>
><br>
><br>
> and get this in the log no matter if I use the correct(changed)<br>
> password or if I use a known bad password:<br>
> Sep 19 17:01:19 csp-idm.pdh.csp krb5kdc[1246](info): AS_REQ (7 etypes<br>
> {18 17 23 3 1 24 -135}) <a href="http://192.168.201.9" target="_blank">192.168.201.9</a>: NEEDED_PREAUTH: admin@PDH.CSP<br>
> for krbtgt/PDH.CSP@PDH.CSP, Additional pre-authentication required<br>
><br>
><br>
> I even deleted the user and all associated profile information on the<br>
> windows system and still it won't work any more.<br>
><br>
><br>
</div>Ok somehow we generate a key the windows client doesn't like or know how<br>
to work with. While MIT's clients are just fine with.<br>
The way we generate keys is by setting a special random seed that is<br>
handed back to the client when the preauth error is generated, perhaps<br>
Windows is not liking what it sees ?<br>
<br>
Any chance you can try with an older client, I wonder if it is a<br>
regression in win7 ?<br>
<div><div class="h5"><br>
Simo.<br>
<br>
--<br>
Simo Sorce * Red Hat, Inc * New York<br>
<br>
</div></div></blockquote></div><br>