<div dir="ltr"><div><div><div><div><div><div><div>Hello, I thought I saw something like this asked before but after searching the archive it seems I can't find it.<br><br></div>I am using FreeIPA 3.3.3 on Cent 7 from EPEL.  Is it possible using native ldap tools, ldapadd and ldappasswd in particular, for user creation and password management?<br><br></div>I am trying to use an IDM to synchronize accounts from one directory to FreeIPA.  The IDM does not have native FreeIPA support but does have LDAP support.<br><br></div>I have successfully gotten some objects created but I am having problems with their passwords.<br><br></div>I have tried using <a href="https://ipa/ui/migration">https://ipa/ui/migration</a>, resetting passwords in IPA UI, ldappasswd and the ipa-cli but when I kinit these users I get the following.<br><br><br>May 04 21:21:26 ipa01 krb5kdc[12959](info): AS_REQ (6 etypes {18 17 16 23 25 26}) <a href="http://10.131.144.139">10.131.144.139</a>: CLIENT KEY EXPIRED: <a href="mailto:foouser@EXAMPLE.COM">foouser@EXAMPLE.COM</a> for krbtgt/<a href="mailto:EXAMPLE.COM@EXAMPLE.COM">EXAMPLE.COM@EXAMPLE.COM</a>, Password has expired<br>May 04 21:21:26 ipa01 krb5kdc[12959](info): AS_REQ (6 etypes {18 17 16 23 25 26}) <a href="http://10.131.144.139">10.131.144.139</a>: NEEDED_PREAUTH: <a href="mailto:foouser@EXAMPLE.COM">foouser@EXAMPLE.COM</a> for kadmin/<a href="mailto:changepw@EXAMPLE.COM">changepw@EXAMPLE.COM</a>, Additional pre-authentication required<br>May 04 21:26:44 ipa01 krb5kdc[12957](info): AS_REQ (6 etypes {18 17 16 23 25 26}) <a href="http://10.131.144.139">10.131.144.139</a>: NEEDED_PREAUTH: <a href="mailto:foouser@EXAMPLE.COM">foouser@EXAMPLE.COM</a> for krbtgt/<a href="mailto:EXAMPLE.COM@EXAMPLE.COM">EXAMPLE.COM@EXAMPLE.COM</a>, Additional pre-authentication required<br>May 04 21:27:59 ipa01 krb5kdc[12956](info): AS_REQ (6 etypes {18 17 16 23 25 26}) <a href="http://10.131.144.139">10.131.144.139</a>: CLIENT KEY EXPIRED: <a href="mailto:foouser@EXAMPLE.COM">foouser@EXAMPLE.COM</a> for krbtgt/<a href="mailto:EXAMPLE.COM@EXAMPLE.COM">EXAMPLE.COM@EXAMPLE.COM</a>, Password has expired<br>May 04 21:27:59 ipa01 krb5kdc[12958](info): AS_REQ (6 etypes {18 17 16 23 25 26}) <a href="http://10.131.144.139">10.131.144.139</a>: NEEDED_PREAUTH: <a href="mailto:foouser@EXAMPLE.COM">foouser@EXAMPLE.COM</a> for kadmin/<a href="mailto:changepw@EXAMPLE.COM">changepw@EXAMPLE.COM</a>, Additional pre-authentication required<br>May 04 21:31:05 ipa01 krb5kdc[12957](info): AS_REQ (6 etypes {18 17 16 23 25 26}) <a href="http://10.131.144.139">10.131.144.139</a>: NEEDED_PREAUTH: <a href="mailto:foouser@EXAMPLE.COM">foouser@EXAMPLE.COM</a> for krbtgt/<a href="mailto:EXAMPLE.COM@EXAMPLE.COM">EXAMPLE.COM@EXAMPLE.COM</a>, Additional pre-authentication required<br>May 04 21:31:48 ipa01 krb5kdc[12957](info): AS_REQ (6 etypes {18 17 16 23 25 26}) <a href="http://10.131.144.139">10.131.144.139</a>: CLIENT KEY EXPIRED: <a href="mailto:foouser@EXAMPLE.COM">foouser@EXAMPLE.COM</a> for krbtgt/<a href="mailto:EXAMPLE.COM@EXAMPLE.COM">EXAMPLE.COM@EXAMPLE.COM</a>, Password has expired<br>May 04 21:31:48 ipa01 krb5kdc[12959](info): AS_REQ (6 etypes {18 17 16 23 25 26}) <a href="http://10.131.144.139">10.131.144.139</a>: NEEDED_PREAUTH: <a href="mailto:foouser@EXAMPLE.COM">foouser@EXAMPLE.COM</a> for kadmin/<a href="mailto:changepw@EXAMPLE.COM">changepw@EXAMPLE.COM</a>, Additional pre-authentication required<br>May 04 21:32:23 ipa01 krb5kdc[13581](info): AS_REQ (6 etypes {18 17 16 23 25 26}) <a href="http://10.131.144.139">10.131.144.139</a>: CLIENT KEY EXPIRED: <a href="mailto:foouser@EXAMPLE.COM">foouser@EXAMPLE.COM</a> for krbtgt/<a href="mailto:EXAMPLE.COM@EXAMPLE.COM">EXAMPLE.COM@EXAMPLE.COM</a>, Password has expired<br>May 04 21:32:23 ipa01 krb5kdc[13582](info): AS_REQ (6 etypes {18 17 16 23 25 26}) <a href="http://10.131.144.139">10.131.144.139</a>: NEEDED_PREAUTH: <a href="mailto:foouser@EXAMPLE.COM">foouser@EXAMPLE.COM</a> for kadmin/<a href="mailto:changepw@EXAMPLE.COM">changepw@EXAMPLE.COM</a>, Additional pre-authentication required<br><br><br></div>I did get a few google hits on 'CLIENT KEY EXPIRED' but I am not sure I understand what they're referring to and if they apply in this situation.<br><br></div>Thank you,<br></div>-Alan<br></div>