<div dir="ltr">I'm finding that the new client to be installed is not accepting the password of my new host enrolment user. This password is working fine with kinit on other hosts and also working in the GUI.<div><br></div><div>Any ideas what I am doing wrong here?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 5 November 2015 at 16:42, Andrew Holway <span dir="ltr"><<a href="mailto:andrew.holway@gmail.com" target="_blank">andrew.holway@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Thanks!</div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On 5 November 2015 at 16:18, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>Andrew Holway wrote:<br>
> Some time ago I saw an article on how to set up a user that can only<br>
> enrol clients into freeipa.<br>
><br>
> Does anyone have information on how to do this because we're currently<br>
> using the admin user and this is a bit scary.<br>
<br>
</span>Create a role for enrolling hosts and add the privilege 'Host<br>
Enrollment' to it.<br>
<br>
Note that 'Host Enrollment' is VERY specific. It only enrolls host. It<br>
will not create host entries. If you want to be able to do that as well<br>
then you'll need the 'Add Hosts' permission. I guess I'd create a new<br>
privilege and add that permission, then add that privilege to the role<br>
you create.<br>
<br>
Some folks add the existing 'Host Administrators' privilege instead but<br>
IMHO that is a bit broad.<br>
<span><font color="#888888"><br>
rob<br>
</font></span></blockquote></div><br></div>
</div></div></blockquote></div><br></div>