<div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Well, I think I messed up when trying to configure cockpit to use kerberos.<br><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">What should I do to fix this?<br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br>I have this on the ipa server:<br><span style="font-family:monospace,monospace">$ klist -k<br>Keytab name: FILE:/etc/krb5.keytab<br>KVNO Principal<br>---- --------------------------------------------------------------------------<br>   2 host/zaira2.opera@OPERA<br>   2 host/zaira2.opera@OPERA<br>   2 host/zaira2.opera@OPERA<br>   2 host/zaira2.opera@OPERA<br>   1 nfs/zaira2.opera@OPERA<br>   1 nfs/zaira2.opera@OPERA<br>   1 nfs/zaira2.opera@OPERA<br>   1 nfs/zaira2.opera@OPERA<br>   3 HTTP/zaira2.opera@OPERA<br>   3 HTTP/zaira2.opera@OPERA<br>   3 HTTP/zaira2.opera@OPERA<br>   3 HTTP/zaira2.opera@OPERA<br></span><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 2, 2015 at 3:45 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Fri, 02 Oct 2015, Fujisan wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
More info:<br>
<br>
I can initiate a ticket:<br>
$ kdestroy<br>
$ kinit admin<br>
<br>
but cannot view user admin:<br>
$ ipa user-show admin<br>
ipa: ERROR: cannot connect to '<a href="https://zaira2.opera/ipa/json" rel="noreferrer" target="_blank">https://zaira2.opera/ipa/json</a>': Unauthorized<br>
<br>
$ ipactl status<br>
Directory Service: RUNNING<br>
krb5kdc Service: RUNNING<br>
kadmin Service: RUNNING<br>
named Service: RUNNING<br>
ipa_memcached Service: RUNNING<br>
httpd Service: RUNNING<br>
pki-tomcatd Service: RUNNING<br>
smb Service: RUNNING<br>
winbind Service: RUNNING<br>
ipa-otpd Service: RUNNING<br>
ipa-dnskeysyncd Service: RUNNING<br>
ipa: INFO: The ipactl command was successful<br>
<br>
/var/log/messages:<br>
Oct  2 14:48:55 zaira2 [sssd[ldap_child[4991]]]: Failed to initialize<br>
credentials using keytab [MEMORY:/etc/krb5.keytab]: Decrypt integrity check<br>
failed. Unable to create GSSAPI-encrypted LDAP connection.<br>
</blockquote></div></div>
What did you do?<br>
<br>
This and the log below about HTTP/zaira2.opera@OPERA show that you have<br>
different keys in LDAP and in your keytab files for host/zaira2.opera<br>
and HTTP/zaira2.opera principals. This might happen if somebody removed<br>
the principals from LDAP (ipa service-del/ipa service-add, or ipa<br>
host-del/ipa host-add) so that they become non-synchronized with<br>
whatever you have in the keytab files.<div class="HOEnZb"><div class="h5"><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Fri, Oct 2, 2015 at 2:26 PM, Fujisan <<a href="mailto:fujisan43@gmail.com" target="_blank">fujisan43@gmail.com</a>> wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello,<br>
<br>
I cannot login to the web UI anymore.<br>
<br>
The password or username you entered is incorrect.<br>
<br>
Log says:<br>
<br>
Oct 02 14:22:57 zaira2.opera krb5kdc[3225](info): AS_REQ (9 etypes {18 17<br>
16 23 25 26 1 3 2}) <a href="http://10.0.21.18" rel="noreferrer" target="_blank">10.0.21.18</a>: NEEDED_PREAUTH: HTTP/zaira2.opera@OPERA<br>
for krbtgt/OPERA@OPERA, Additional pre-authentication required<br>
Oct 02 14:22:57 zaira2.opera krb5kdc[3225](info): closing down fd 12<br>
Oct 02 14:22:57 zaira2.opera krb5kdc[3225](info): preauth<br>
(encrypted_timestamp) verify failure: Decrypt integrity check failed<br>
Oct 02 14:22:57 zaira2.opera krb5kdc[3225](info): AS_REQ (9 etypes {18 17<br>
16 23 25 26 1 3 2}) <a href="http://10.0.21.18" rel="noreferrer" target="_blank">10.0.21.18</a>: PREAUTH_FAILED: HTTP/zaira2.opera@OPERA<br>
for krbtgt/OPERA@OPERA, Decrypt integrity check failed<br>
Oct 02 14:22:57 zaira2.opera krb5kdc[3225](info): closing down fd 12<br>
<br>
<br>
I have no idea what went wrong.<br>
<br>
What can I do?<br>
<br>
​Regards,<br>
Fuji​<br>
<br>
<br>
</blockquote></blockquote>
<br>
</div></div><span class="HOEnZb"><font color="#888888"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
-- <br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</blockquote>
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>