I've done 1,2,3 many times. 4 always fails.<br><br>I realize you didn't ask for the info about allow_weak_crypto. I included it because it seems to me that it's a telling bit of info.<br><br><div class="gmail_quote">
On Wed, Mar 27, 2013 at 9:50 AM, Simo Sorce <span dir="ltr"><<a href="mailto:simo@redhat.com" target="_blank">simo@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I didn't ask to run ipa-getkeytab,<br>
can you do the following:<br>
<br>
1. login to a linux client<br>
2. change the user password as an admin<br>
3. kinit as the user (and perform the password change as it will be<br>
requested)<br>
4. go to the solaris box and now try the kinit using the new password<br>
<br>
Does step 4 work if you do 1,2,3 ?<br>
Or does it keep segfaulting ?<br>
<br>
<br>
<br>
The difference when allow_weak_crypto is false is that des keys are not<br>
produced, so an AS REQ reply will return to the client with a list of<br>
encryption types that do not include des as a valid algorithm.<br>
<br>
Maybe your kinit client is choking on that ?<br>
<br>
You can change the default encryption types used to generate new<br>
password, (changing allow_weak_crypto is not sufficient for that) in<br>
FreeIPA by adding the desired enctypes in the krbDefaultEncSaltTypes<br>
multivalued attribute in entry named:<br>
cn=<REALMNAME>,cn=Kerberos,<yoursuffix><br>
<br>
The current defaults for new installs do *not* include DES as it is a<br>
broken algorithm for security at this point.<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
Simo.<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
On Wed, 2013-03-27 at 09:36 -0700, David Redmond wrote:<br>
> I run the ipa-getkeytab command as the user I'm changing the password<br>
> for.<br>
><br>
> New info: On the server, in my /etc/krb5.conf file I have<br>
> "allow_weak_crypto = true". If I remove that from the file, changing<br>
> the password via ipa-getkeytab no longer works. The kinit command on<br>
> the Solaris client results in a segmentation fault. When I put<br>
> "allow_weak_crypto = true" back into the krb5.conf file and change the<br>
> password via ipa-getkeytab the kinit command on the Solaris client<br>
> works normally.<br>
><br>
> The ipa-getkeytab command must somehow be referencing<br>
> "allow_weak_crypto" and storing the password differently depending on<br>
> it.<br>
><br>
> On Wed, Mar 27, 2013 at 5:51 AM, Simo Sorce <<a href="mailto:simo@redhat.com">simo@redhat.com</a>> wrote:<br>
>         On Wed, 2013-03-27 at 12:23 +0100, Sumit Bose wrote:<br>
>         > ><br>
>         > > I did (as admin@REALM user). But we hardcode<br>
>         root/admin@REALM if<br>
>         > this is<br>
>         > > administrative change:<br>
>         > ><br>
>         > > ipapwd_chpwop():<br>
>         > > ...<br>
>         > >     if (pwdata.changetype == IPA_CHANGETYPE_NORMAL) {<br>
>         > >         principal =<br>
>         slapi_entry_attr_get_charptr(pwdata.target,<br>
>         > ><br>
>         > "krbPrincipalName");<br>
>         > >     } else {<br>
>         > >         principal = slapi_ch_smprintf("root/admin@%s",<br>
>         > krbcfg->realm);<br>
>         > >     }<br>
>         > > ...<br>
>         > ><br>
>         > > Maybe the root cause of the crash is that we place there a<br>
>         principal<br>
>         > > (root/admin@REALM) which does not exist. But this is just<br>
>         a<br>
>         > speculation.<br>
>         ><br>
>         > ok, the principal is odd, and I guess this should be fixed,<br>
>         but maybe<br>
>         > Simo knows some more history here. But nevertheless I think<br>
>         it is<br>
>         > unrelated to the crash, becaus afaik this information is not<br>
>         send to<br>
>         > the<br>
>         > client and only used for book-keeing and auditing on the<br>
>         server side.<br>
>         ><br>
><br>
>         I don't recall the root/admin story, looks odd to me, but<br>
>         nothing of<br>
>         this matter to a *client* segfaulting.<br>
><br>
>         Clients do not get access to this data this is purely internal<br>
>         metadata<br>
>         used by kadmin and the KDC.<br>
><br>
>         What I wonder is if the client is segfaulting when the<br>
>         password is<br>
>         expired due to a bug in handling the request to immediately<br>
>         change the<br>
>         password ?<br>
><br>
>         David,<br>
>         if you kinit on a Linux machine and make sure you properly<br>
>         change the<br>
>         password of the user (as the user no as an admin), and then<br>
>         kinit again<br>
>         with the new credentials on Solaris, does it 'solve' your<br>
>         segfault<br>
>         issue ?<br>
><br>
>         In any case a segfault in a client command is something you<br>
>         need to<br>
>         report to your OS vendor, even if it is indirectly caused by<br>
>         the server<br>
>         it shows a potential attack vector and it is particularly<br>
>         worrying in<br>
>         something like kinit that may be run as root on a box.<br>
><br>
>         Simo.<br>
><br>
>         --<br>
>         Simo Sorce * Red Hat, Inc * New York<br>
><br>
><br>
<br>
<br>
--<br>
Simo Sorce * Red Hat, Inc * New York<br>
<br>
</div></div></blockquote></div><br>