<html><body><div style="color:#000; background-color:#fff; font-family:times new roman, new york, times, serif;font-size:12pt">><br>>><br>>> The existing document states all the steps as listed below.<br>>><br>>>        A user tries to log into a machine with SSSD.<br>>>        SSSD attempts to perform Kerberos authentication against the<br>>>        IPA server.<br>>>        Even though the user exists in the system, the authentication<br>>>        will fail with the error key type is not supported because the<br>>>        Kerberos hashes do not yet exist.<br>>>        SSSD the performs a plaintext LDAP bind over a
 secure<br>>>        connection.<br>>>        IPA intercepts this bind request. If the user has a Kerberos<br>>>        principal but no Kerberos hashes, then the IPA identity<br>>>        provider generates the hashes and stores them in the user<br>>>        entry.<br>>>        If authentication is successful, SSSD disconnects from IPA and<br>>>        tries Kerberos authentication again. This time, the request<br>>>        succeeds because the hash exists in the entry.<br>>> The steps 4-6 are a little difficult to understand: Are these steps<br>>> SSSD/IPA's internal information exchange mechanism? or do I have
 to<br>>> setup something at IPA client/server side to fullfill? like setup<br>>> pam_ldap or nslcd/nss_ldap?<br>>><br>>>>Steps 4-6 are handled automatically by SSSD as long as it is configured<br>>with 'id_provider = ipa' and 'auth_provider = ipa' (which is how<br>>ipa-client-install configures it) and migration mode is enabled on the<br>>server.<br>><br><br>IPA server's migration mode was already setup, and sssd have the providers setup<br>to IPA already for both id and auth.<br><br>>><br>>> I've mirgated all my users and groups from openLDAP into IPA without<br>>> user password/hash ( another bug here: needs<br>>> --group-objectclas='posixGroup' option, and optionally<br>>> --schema='RFC2307'), the passwords were not migrated, and so I tried<br>>> the above method to setup new passwords seamlessly for users,<br>>> unfortunately all tries
 failed.<br>>><br>>><br>><br>>This is the problem. In order for seamless password migration to work,<br>>you need to migrate the hashes. If we cannot bind with the old password,<br>>we can't set that up for Kerberos.<br>><br><br>This is the popint. If I understand correctly -- please feel free to correct --, the document claims a way to initialize password hash for IPA users, when the accounts are migrated and without a password hash, and they use the user's password input to initialize the password hash.<br><br>The ssh session fails may be related to the 'REQUIRE-PREAUTH' attribute for IPA accounts but I am not sure.<br><br>>What it sounds like you probably want to do (since you aren't keeping<br>>the hashes) is just reset the passwords for all of your users, which<br>>will require them to change it on first login. There's an admin command<br>>'ipa passwd <username>' that can reset a user password. There may
 also<br>>be tools to do this in bulk, but someone else will need to chime in<br>>here.<br>><br><br>I know this way password-resetting (to 'abcd1234' :) ) should work, but it is not the document claims. for bulk setup, I've use the following IPA command to find all users without password hash:<br>ipa user-find | perl -00 -ni -e '/Keytab: False/ && print $_;' | grep -i 'User login:' | cut -d: -f2<br>and then run a loop to apply command 'ipa passwd <userID>'.<br><br>There maybe a better and simpler ldapsearch command to find a list of users against 389 directory server directly, but I am still in the learning curve.<br><br>--David<br>><br>><br>><br>><br></div></body></html>