<div dir="ltr">I was facing similar issues, and ended up changing the username from admin to something else since admin is a common name in brute force ssh attacks. It was getting locked out in spite of using fail2ban. I guess fail2ban can be tweaked to block the host before ipa blocks the admin account, but I didn't bother doing that. Changing the username seemed easier. </div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Oct 5, 2015 at 8:19 AM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">Janelle wrote:<br>
> On 10/5/15 7:39 AM, Rob Crittenden wrote:<br>
>> Torsten Harenberg wrote:<br>
>>> Hi Janelle,<br>
>>><br>
>>> Am 04.10.2015 um 19:25 schrieb Janelle:<br>
>>>> Just wondering if anyone knows why this happens from time to time on<br>
>>>> servers:<br>
>>>><br>
>>>> $ kinit admin<br>
>>>> kinit: Clients credentials have been revoked while getting initial<br>
>>>> credentials<br>
>>>><br>
>>>> there are no failed logins to the admin account - not even any login<br>
>>>> attempts, so it is not like someone is getting the account locked out.<br>
>>>> Just curious if anyone else has seen in. With 16 masters, it occurs<br>
>>>> randomly on some hosts, but eventually clears either on its own or with<br>
>>>> a restart of IPA. However, I just restarted IPA on this server and<br>
>>>> after<br>
>>>> about 2-3 minutes it works again.<br>
>>>><br>
>>> I am seeing the same, see my mail "kinit admin not working anymore<br>
>>> (LOCKED_OUT: Clients credentials have been revoked)" from 03-SEPT.<br>
>>> Actually, wasn't it you who wanted to open a ticket?<br>
>>><br>
>>> Have a nice evening,<br>
>>><br>
>>>    Torsten<br>
>>><br>
>> When you see this run `ipa user-status admin` and `ipa pwpolicy-show<br>
>> --user=admin` and provide that so we can potentially see what is going<br>
>> on.<br>
>><br>
>> rob<br>
>><br>
> I am curious -- if you have 16 masters, but this only happens once in<br>
> awhile on 1 or 2 servers, how does the pwpolicy fit in? I am trying to<br>
> understand the thinking of where you are going?? I will for sure do this<br>
> the next time it happens, but I want to understand logic?<br>
<br>
</div></div>Lockout is per-master because the failed auth count and successful login<br>
date is not replicated due to performance issues.<br>
<br>
The user-status command will collect the lockout attributes from each<br>
server, but it doesn't do the calculations, so the pwpolicy is needed as<br>
well in order to figure out whether on a given master the user is locked<br>
out.<br>
<span class="HOEnZb"><font color="#888888"><br>
rob<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</div></div></blockquote></div><br></div>