<div dir="ltr"><div>You are absolutely right; the credentials aren't forwarded.</div><div><br></div><div>I have enabled the option "allow gssapi credential delegation". So one would expect that it should work.</div>
<div><br></div><div>I just installed the mit kerberos tools and I can see all the options and forwarding tickets is allowed according to the interface. Also putty is now using the mit kerberos dll; gssapi32.dll and still I get the same results.</div>
<div><br></div><div>So the proper question is: how do I get putty to really forward the credentials?</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Jan 4, 2013 at 3:58 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">Han Boetes wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I've set up windows with the instructions given over here:<br>
<br>
<a href="http://freeipa.com/page/Windows_authentication_against_FreeIPA" target="_blank">http://freeipa.com/page/<u></u>Windows_authentication_<u></u>against_FreeIPA</a><br>
<br>
And all seems to be working fine. After I run klist I see valid tickets:<br>
<br>
Microsoft Windows [Version 6.1.7601]<br>
Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.<br>
<br>
C:\Users\fh>klist<br>
<br>
Aktuelle Anmelde-ID ist 0:0x153b25<br>
<br>
Zwischengespeicherte Tickets: (1)<br>
<br>
#0>     Client: fh @ REALM<br>
         Server: krbtgt/REALM @ REALM<br>
         KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96<br>
         Ticketkennzeichen 0x40e10000 -> forwardable renewable initial<br>
pre_authen<br>
t name_canonicalize<br>
         Startzeit: 1/4/2013 14:03:11 (lokal)<br>
         Endzeit:   1/5/2013 14:03:11 (lokal)<br>
         Erneuerungszeit: 1/11/2013 14:03:11 (lokal)<br>
         Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96<br>
<br>
<br>
I can do a passwordless login with the latest putty with kerberos<br>
authentication,  I disabled password and key logins. And then on the<br>
host I checked klist and got this:<br>
<br>
[fh@test-server-ipa ~]$ klist<br>
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_1554800011)<br>
<br>
sudo also doesn't work. To test the setup I did the same from linux host<br>
and login in, sudo, klist etc etc all work fine. So I checked the sshd<br>
-d output difference and the only difference I see is:<br>
<br>
-Postponed gssapi-with-mic for fh from 192.168.2.73 port 50334 ssh2<br>
-debug1: Received some client credentials<br>
+Postponed gssapi-with-mic for fh from 192.168.2.56 port 49168 ssh2<br>
+debug1: Got no client credentials<br>
<br>
Where .73 is the linux host and .56 is the windows host.<br>
<br>
What am I missing here?<br>
</blockquote>
<br></div></div>
The problem isn't that authentication fails, it is that the credentials aren't forwarded, right?<br>
<br>
Does putty support this?<span class="HOEnZb"><font color="#888888"><br>
<br>
rob<br>
<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><br><br><br># Han
</div>