<div dir="ltr">Yes it works if I specify the -s as <a href="http://ldap.mycorp.com">ldap.mycorp.com</a>. So we have progress! It now appears to authenticate fine when it posts the session but I have a new error. <div><br></div>
<div>I get an Ipa Error 911 "<span style="background-color:rgb(249,249,249);font-family:'Liberation Sans',Arial,Sans,sans-serif">Missing HTTP referer. <br/> You have to configure your browser to send HTTP referer header." I assume this is because the external name doesn't match the internal name. Is there a way to modify this somewhere?</span></div>
<div><span style="background-color:rgb(249,249,249);font-family:'Liberation Sans',Arial,Sans,sans-serif"><br></span></div><div><span style="background-color:rgb(249,249,249);font-family:'Liberation Sans',Arial,Sans,sans-serif">Thanks.</span></div>
<div><br></div><div><span style="background-color:rgb(249,249,249);font-family:'Liberation Sans',Arial,Sans,sans-serif">Steve</span></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Feb 3, 2014 at 4:40 AM, Sumit Bose <span dir="ltr"><<a href="mailto:sbose@redhat.com" target="_blank">sbose@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Fri, Jan 31, 2014 at 01:50:58PM -0800, Steve Severance wrote:<br>
> Hi Sumit, That does indeed work. What does that tell us?<br>
<br>
</div>I'm sorry, but it only tells that in general GSSAPI/Kerberos is working.<br>
I think it does not help much with your original issue. About<br>
ipa-getkeytab, does it work if you specify the server with the<br>
-s/--server option?<br>
<br>
<br>
bye,<br>
Sumit<br>
<div class="HOEnZb"><div class="h5"><br>
><br>
> Steve<br>
><br>
><br>
> On Wed, Jan 29, 2014 at 12:11 AM, Sumit Bose <<a href="mailto:sbose@redhat.com">sbose@redhat.com</a>> wrote:<br>
><br>
> > On Tue, Jan 28, 2014 at 02:29:07PM -0800, Steve Severance wrote:<br>
> > > Hi Everyone,<br>
> > ><br>
> > > I have deployed freeipa inside our production network. I want to be able<br>
> > to<br>
> > > access the web ui so I am attempting to add it to our nginx edge<br>
> > machine. I<br>
> > > can pass the requests upstream just fine but I am unable to login using a<br>
> > > username/password. I have enabled password authentication in the kerberos<br>
> > > section of the freeipa httpd config file. In the logs it looks like the<br>
> > > authentication succeeds and a ticket is issued. I assume that the cookie<br>
> > > that is returned (ipa_session) has the authentication information in it.<br>
> > > The subsequent call to get json data fails and I am prompted to login<br>
> > again.<br>
> > ><br>
> > > I found this thread (<br>
> > > <a href="https://www.redhat.com/archives/freeipa-users/2013-August/msg00080.html" target="_blank">https://www.redhat.com/archives/freeipa-users/2013-August/msg00080.html</a>)<br>
> > > which has instructions on adding <a href="http://ipa.mydomain.com" target="_blank">ipa.mydomain.com</a> to the keytab. When I<br>
> > > call ipa-getkeytab it hangs for a bit before returning:<br>
> > ldap_sasl_bind(SIMPLE):<br>
> > > Can't contact LDAP server (-1)<br>
> > ><br>
> > > Digging into this if I run: ldapsearch -d 1 -v -H ldaps://<br>
> > <a href="http://ldap.mydomain.com" target="_blank">ldap.mydomain.com</a><br>
> > ><br>
> > > I get:<br>
> > > ldap_sasl_interactive_bind_s: Unknown authentication method (-6)<br>
> > >         additional info: SASL(-4): no mechanism available:<br>
> ><br>
> > Does it work if you add the mechanism explicitly, e.g. 'ldapsearch -Y<br>
> > GSSAPI ....' ?<br>
> ><br>
> > bye,<br>
> > Sumit<br>
> ><br>
> > ><br>
> > > So we seem to have a SASL problem. If I run ldapsearch with -x simple<br>
> > > authentication works just fine.<br>
> > ><br>
> > > Do I need to do something special to enable SASL so I can get the keytab?<br>
> > > The ipa-getkeytab command does not seem to have an option to use simple<br>
> > > authentication.<br>
> > ><br>
> > > Thanks.<br>
> > ><br>
> > > Steve<br>
> ><br>
> > > _______________________________________________<br>
> > > Freeipa-users mailing list<br>
> > > <a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
> > > <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> ><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr">Steve Severance<div>Director of Engineering</div><div>Altos Research</div><div><br></div><div>e. <a href="mailto:steve@altosresearch.com" target="_blank">steve@altosresearch.com</a></div>
<div>m. (240) 472 - 9645</div></div>
</div></div>