<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Hi, </div><div class="gmail_extra"><br></div><div class="gmail_extra"><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">​Thanks for replying. </div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">I am running Ubuntu 14 IPA client, here is the result when I try to run kinit -R</div><div class="gmail_default" style><font face="verdana, sans-serif">tlau@mocha:~$ kinit -R</font></div><div class="gmail_default" style><font face="verdana, sans-serif">kinit: KDC can't fulfill requested option while renewing credentials</font></div><div class="gmail_default" style><font face="verdana, sans-serif">tlau@mocha:~$ klist</font></div><div class="gmail_default" style><font face="verdana, sans-serif">Ticket cache: FILE:/tmp/krb5cc_1218400003_rZ7eX7</font></div><div class="gmail_default" style><font face="verdana, sans-serif">Default principal: <a href="mailto:tlau@DOMAIN.COM">tlau@DOMAIN.COM</a></font></div><div class="gmail_default" style><font face="verdana, sans-serif"><br></font></div><div class="gmail_default" style><font face="verdana, sans-serif">Valid starting       Expires              Service principal</font></div><div class="gmail_default" style><font face="verdana, sans-serif">2014-11-07T16:59:42  2014-11-08T16:59:42  krbtgt/<a href="mailto:DOMAIN.COM@DOMAIN.COM">DOMAIN.COM@DOMAIN.COM</a></font></div><div class="gmail_default" style><font face="verdana, sans-serif">tlau@mocha:~$ date</font></div><div class="gmail_default" style><font face="verdana, sans-serif">Fri Nov  7 17:09:24 HKT 2014</font><span style="font-family:verdana,sans-serif;font-size:small">​</span></div><div class="gmail_default" style><span style="font-family:verdana,sans-serif;font-size:small"><br></span></div><div class="gmail_default" style><span style="font-family:verdana,sans-serif;font-size:small">Any idea why?</span></div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Nov 7, 2014 at 4:41 PM, Sumit Bose <span dir="ltr"><<a href="mailto:sbose@redhat.com" target="_blank">sbose@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">On Thu, Nov 06, 2014 at 10:28:34PM -0500, Dmitri Pal wrote:<br>
> On 11/06/2014 08:20 PM, Thomas Lau wrote:<br>
</span>> >?Hi,<br>
<span class="">> ><br>
> >Is it possible to renew ticket once in a while for cronjob to run on<br>
> >certain users? How do you guys run cronjob on Kerberos user without<br>
> >getting ticket expire?<br>
> ><br>
> >Sent from my BlackBerry 10 smartphone.<br>
> ><br>
> ><br>
> Here is an example: <a href="http://adam.younglogic.com/2013/05/kerberizing-postgresql-with-freeipa-for-keystone/" target="_blank">http://adam.younglogic.com/2013/05/kerberizing-postgresql-with-freeipa-for-keystone/</a><br>
><br>
> But starting kerberos  1.11 kerberos library should be able to automatically<br>
> renew the ticket for service accounts<br>
> <a href="http://k5wiki.kerberos.org/wiki/Projects/Keytab_initiation" target="_blank">http://k5wiki.kerberos.org/wiki/Projects/Keytab_initiation</a><br>
<br>
</span>SSSD can renew tickets as well, see krb5_renew_interval option described<br>
in sssd-krb5(5).<br>
<br>
Depending on how often your cronjob is run and what is the lifetime of<br>
your tickets you might just call 'kinit -R' at the beginning of the<br>
cronjob.<br>
<br>
bye,<br>
Sumit<br>
<div class=""><div class="h5"><br>
><br>
> --<br>
> Thank you,<br>
> Dmitri Pal<br>
><br>
> Sr. Engineering Manager IdM portfolio<br>
> Red Hat, Inc.<br>
><br>
<br>
</div></div><span class=""><font color="#888888">> --<br>
> Manage your subscription for the Freeipa-users mailing list:<br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
<br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br><div><br></div>
</div></div>