Hi Simo,<div><br></div><div>I totally missed <a href="http://www.freeipa.org/page/PasswordSynchronization" target="_blank">http://www.freeipa.org/page/PasswordSynchronization</a> (and chapter 8.5.3 of the IPA guide :-) Thanks for pointing it out!</div>

<div><br></div><div>Regards,</div><div>Willem.</div><div><br><br><div class="gmail_quote">On Wed, Jun 6, 2012 at 2:46 PM, Simo Sorce <span dir="ltr"><<a href="mailto:simo@redhat.com" target="_blank">simo@redhat.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Wed, 2012-06-06 at 14:34 +0200, Willem Bos wrote:<br>
> Hi Alexander,<br>
><br>
><br>
</div><div class="im">> I did some experimenting with the example at<br>
> <a href="http://adam.younglogic.com/2010/07/talking-to-freeipa-json-web-api-via-curl/" target="_blank">http://adam.younglogic.com/2010/07/talking-to-freeipa-json-web-api-via-curl/</a> and am now able to create a user using the following as input to curl (-d @user_add.json) :<br>


><br>
><br>
> {<br>
>   "method":"user_add",<br>
>   "params":[<br>
>     [],<br>
>     {<br>
>       "uid":"test",<br>
>       "givenname":"test",<br>
>       "sn":"test",<br>
>       "userpassword":"test"<br>
>     }<br>
>   ]<br>
> }<br>
><br>
><br>
> I'm left with two questions :<br>
> - Is it possible to use a hashed password (as stored in the 'meta-IM')<br>
> as a value for userpassword? And if so, will this propagate to the<br>
> created Kerberos principal?<br>
<br>
</div>Nope, we need the clear text in order to generate the krb5 keys.<br>
<div class="im"><br>
> - After creation, I'm forced to change the password when running<br>
> `kinit test`. Is it possible to reset prevent the forced password<br>
> change?<br>
<br>
</div>Yes, see: <a href="http://www.freeipa.org/page/PasswordSynchronization" target="_blank">http://www.freeipa.org/page/PasswordSynchronization</a><br>
<div class="im"><br>
> As a test, I tried to set the '-needchange' attribute using kadmin but<br>
> that returned "... Insufficient access while modifying..."<br>
<br>
</div>This is not controlled by kadmin.<br>
<div class="im">><br>
> I grepped the mailing list archives / API.txt / source code / etc. for<br>
> clues but without success...<br>
<br>
</div>See above, it is really easy to create an agent with the right<br>
permissions.<br>
<span class="HOEnZb"><font color="#888888"><br>
Simo.<br>
<br>
--<br>
Simo Sorce * Red Hat, Inc * New York<br>
<br>
</font></span></blockquote></div><br></div>