<div dir="ltr"><br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""><br>
</span>Keys can be generated in migration in two ways: by the migration web UI<br>
or by sssd. I'm guessing you were unaware of this second method and that<br>
is how the keys are being created.<br>
<span class=""><br></span></blockquote><div><br></div><div>That's what I suspected too. But it doesn't look like SSSD is generating keys. At least not right away. I SSHed to one of the clients with ipa-client installed as well as to the ipa-server, and that didn't change anything right away. That's what I was trying to figure out. i.e Which event triggers key generation ?</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">I'd suggest using nss_ldap over NIS. You can also manually configure<br>
Kerberos and have basic functionality as long as nscld doesn't drive you<br>
crazy.<br></blockquote><div><br></div><div>Thanks. I'll look into it.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""><br>
</span>It's not the encryption type, it is how it is encoded in 389-ds. When<br>
you migrated the passwords they were stored as {crypt}hash. When the<br>
password is changed in 389-ds it becomes {SSHA}hash. The NIS<br>
configuration for slapi-nis only provides those passwords prefixed with<br>
{crypt} (because NIS can only grok that format). </blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<span class=""><font color="#888888"><br>
rob<br></font></span></blockquote><div><br></div><div>Yeah that sounds like a possible fix, although a less than ideal one. Is it possible to change it back to {SSHA} after all the clients have been migrated suitably ? How would one force all the existing users' passwords to be converted to {SSHA} once slapi-nis is no longer needed ? </div></div><br></div></div>