<div dir="ltr">Hi Everyone,<br>
<div><br></div><div>I have deployed freeipa inside our production network. I want to be able to access the web ui so I am attempting to add it to our nginx edge machine. I can pass the requests upstream just fine but I am unable to login using a username/password. I have enabled password authentication in the kerberos section of the freeipa httpd config file. In the logs it looks like the authentication succeeds and a ticket is issued. I assume that the cookie that is returned (ipa_session) has the authentication information in it. The subsequent call to get json data fails and I am prompted to login again.</div>
<div><br></div><div>I found this thread (<a href="https://www.redhat.com/archives/freeipa-users/2013-August/msg00080.html">https://www.redhat.com/archives/freeipa-users/2013-August/msg00080.html</a>) which has instructions on adding <a href="http://ipa.mydomain.com">ipa.mydomain.com</a> to the keytab. When I call ipa-getkeytab it hangs for a bit before returning: <font face="arial, helvetica, sans-serif"><span style="color:rgb(51,51,51);font-size:13px;text-align:justify">ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)</span> </font></div>
<div><font face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">Digging into this if I run: </font><span style="color:rgb(51,51,51);font-size:13px;text-align:justify"><font face="arial, helvetica, sans-serif">ldapsearch -d 1 -v -H ldaps://<a href="http://ldap.mydomain.com">ldap.mydomain.com</a> </font></span></div>
<div><span style="color:rgb(51,51,51);font-size:13px;text-align:justify"><font face="arial, helvetica, sans-serif"><br></font></span></div><div><span style="color:rgb(51,51,51);font-size:13px;text-align:justify"><font face="arial, helvetica, sans-serif">I get:</font></span></div>
<div><span style="font-family:arial,helvetica,sans-serif">ldap_sasl_interactive_bind_s: Unknown authentication method (-6)</span><br></div><div><font face="arial, helvetica, sans-serif"><div>        additional info: SASL(-4): no mechanism available:</div>
<div><br></div><div>So we seem to have a SASL problem. If I run ldapsearch with -x simple authentication works just fine.</div><div><br></div><div>Do I need to do something special to enable SASL so I can get the keytab? The ipa-getkeytab command does not seem to have an option to use simple authentication.</div>
<div><br></div><div>Thanks.</div><div><br></div><div>Steve</div></font></div></div>