<div dir="ltr"><div>Well, probably I missed something...<br></div>I see  very weird thing: when my system-auth pam config *contains* pm_krb5 module before pam_ldap, use can login. When there is just pam_ldap, user cannot login.<br>
<div><div><div><div><div>In assumption that we're able to use LDAP authentication, but some wrong with Kerberos, situation should be opposite, IMHO.<br></div><div><div><div><div><br>Password is right. BTW, is there any way  (increase debug level?) to get more meaningful message?<br>
<br><br></div></div></div></div></div></div></div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Jun 26, 2013 at 12:39 PM, Sumit Bose <span dir="ltr"><<a href="mailto:sbose@redhat.com" target="_blank">sbose@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Wed, Jun 26, 2013 at 12:28:57PM +0300, Vitaly wrote:<br>
> How I should debug & fix "Decrypt integrity check failed"  problem?<br>
<br>
</div>This typically means wrong password.<br>
<br>
HTH<br>
<br>
bye,<br>
Sumit<br>
<div><div class="h5">><br>
> TIA,<br>
> Vitaly<br>
><br>
><br>
> Jun 26 09:06:10 <a href="http://serv02.prod.example.com" target="_blank">serv02.prod.example.com</a> krb5kdc[7748](info): AS_REQ (12<br>
> etypes {18 17 16 23 1 3 2 11 10 15 12 13}) <a href="http://192.168.99.21" target="_blank">192.168.99.21</a>: NEEDED_PREAUTH:<br>
> <a href="mailto:username@PROD.EXAMPLE.COM">username@PROD.EXAMPLE.COM</a> for krbtgt/<a href="mailto:PROD.EXAMPLE.COM@PROD.EXAMPLE.COM">PROD.EXAMPLE.COM@PROD.EXAMPLE.COM</a>,<br>
> Additional pre-authentication required<br>
> Jun 26 09:06:10 <a href="http://serv02.prod.example.com" target="_blank">serv02.prod.example.com</a> krb5kdc[7767](info): preauth<br>
> (timestamp) verify failure: Decrypt integrity check failed<br>
> Jun 26 09:06:10 <a href="http://serv02.prod.example.com" target="_blank">serv02.prod.example.com</a> krb5kdc[7767](info): AS_REQ (12<br>
> etypes {18 17 16 23 1 3 2 11 10 15 12 13}) <a href="http://192.168.99.21" target="_blank">192.168.99.21</a>: PREAUTH_FAILED:<br>
> <a href="mailto:username@PROD.EXAMPLE.COM">username@PROD.EXAMPLE.COM</a> for krbtgt/<a href="mailto:PROD.EXAMPLE.COM@PROD.EXAMPLE.COM">PROD.EXAMPLE.COM@PROD.EXAMPLE.COM</a>,<br>
> Decrypt integrity check failed<br>
<br>
</div></div>> _______________________________________________<br>
> Freeipa-users mailing list<br>
> <a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
<br>
_______________________________________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
</blockquote></div><br></div>