<p dir="ltr">Got it. BTW, with that java 8 s4u2self works too. Thanks again for the help!</p>
<p dir="ltr">Marc Boorshtein<br>
CTO, Tremolo Security, Inc.<br>
</p>
<div class="gmail_quote">On Dec 1, 2015 1:14 PM, "Simo Sorce" <<a href="mailto:simo@redhat.com">simo@redhat.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, 2015-12-01 at 12:55 -0500, Marc Boorshtein wrote:<br>
> I can now get a ticket!  This is how I originally created the user:<br>
><br>
> $ kinit admin<br>
> $ ipa service-add HTTP/s4u.rhelent.lan@rhelent.lan --ok-as-delegate=true<br>
<br>
ok-as-delegate != ok_to_auth_as_delegate ...<br>
<br>
I know, it is a little confusing :-/  but these are the upstream flag<br>
names, and they both exist and do different things.<br>
<br>
Simo.<br>
<br>
> Here's the object in the directory:<br>
><br>
> dn: krbprincipalname=HTTP/s4u.rhelent.lan@RHELENT.LAN,cn=services,cn=accounts,<br>
>  dc=rhelent,dc=lan<br>
> ipaKrbPrincipalAlias: HTTP/s4u.rhelent.lan@RHELENT.LAN<br>
> objectClass: ipaobject<br>
> objectClass: ipaservice<br>
> objectClass: krbticketpolicyaux<br>
> objectClass: ipakrbprincipal<br>
> objectClass: krbprincipal<br>
> objectClass: krbprincipalaux<br>
> objectClass: pkiuser<br>
> objectClass: top<br>
> krbTicketFlags: 1048704<br>
> managedBy: fqdn=s4u.rhelent.lan,cn=computers,cn=accounts,dc=rhelent,dc=lan<br>
> krbPrincipalName: HTTP/s4u.rhelent.lan@RHELENT.LAN<br>
> ipaUniqueID: 3b563d36-88e0-11e5-917d-525400cab9fa<br>
> krbLastPwdChange: 20151112021359Z<br>
> krbExtraData:: AALn9UNWSFRUUC9zNHUucmhlbGVudC5sYW5AUkhFTEVOVC5MQU4A<br>
> krbLastSuccessfulAuth: 20151201165518Z<br>
><br>
> Just now, I ran:<br>
> [root@freeipa ~]# kadmin.local<br>
> Authenticating as principal admin/admin@RHELENT.LAN with password.<br>
> kadmin.local:  modprinc +ok_to_auth_as_delegate HTTP/s4u.rhelent.lan<br>
> Principal "HTTP/s4u.rhelent.lan@RHELENT.LAN" modified.<br>
><br>
> and now the directory object is<br>
> dn: krbprincipalname=HTTP/s4u.rhelent.lan@RHELENT.LAN,cn=services,cn=accounts,<br>
>  dc=rhelent,dc=lan<br>
> ipaKrbPrincipalAlias: HTTP/s4u.rhelent.lan@RHELENT.LAN<br>
> objectClass: ipaobject<br>
> objectClass: ipaservice<br>
> objectClass: krbticketpolicyaux<br>
> objectClass: ipakrbprincipal<br>
> objectClass: krbprincipal<br>
> objectClass: krbprincipalaux<br>
> objectClass: pkiuser<br>
> objectClass: top<br>
> krbTicketFlags: 3145856<br>
> managedBy: fqdn=s4u.rhelent.lan,cn=computers,cn=accounts,dc=rhelent,dc=lan<br>
> krbPrincipalName: HTTP/s4u.rhelent.lan@RHELENT.LAN<br>
> ipaUniqueID: 3b563d36-88e0-11e5-917d-525400cab9fa<br>
> krbLastPwdChange: 20151112021359Z<br>
> krbExtraData:: AAIx3l1WYWRtaW4vYWRtaW5AUkhFTEVOVC5MQU4A<br>
> krbLastSuccessfulAuth: 20151201175200Z<br>
><br>
> Ticket flags clearly changed.  Now to see if this works with ipa-web.<br>
<br>
<br>
<br>
> Thanks<br>
><br>
> Marc Boorshtein<br>
> CTO Tremolo Security<br>
> <a href="mailto:marc.boorshtein@tremolosecurity.com">marc.boorshtein@tremolosecurity.com</a><br>
> <a href="tel:%28703%29%20828-4902" value="+17038284902">(703) 828-4902</a><br>
><br>
><br>
> On Tue, Dec 1, 2015 at 12:42 PM, Simo Sorce <<a href="mailto:simo@redhat.com">simo@redhat.com</a>> wrote:<br>
> > On Tue, 2015-12-01 at 11:55 -0500, Marc Boorshtein wrote:<br>
> >> ><br>
> >> > How do you acquire the user ticket ?<br>
> >> ><br>
> >><br>
> >> Using a keytab.  Here's a link to the example code I'm using:<br>
> >> <a href="https://github.com/ymartin59/java-kerberos-sfudemo" rel="noreferrer" target="_blank">https://github.com/ymartin59/java-kerberos-sfudemo</a>  I have Java set to<br>
> >> use IPA as the DNS server and I'm passing in mmosley as the user to<br>
> >> impersonate and HTTP/freeipa.rhelent.lan as the service that will<br>
> >> consume the impersonated user's ticket.<br>
> >><br>
> >> > Do you have the kdc log (/var/log/krb5kdc.log) that shows what the<br>
> >> > server has been requested and what it released ?<br>
> >> ><br>
> >><br>
> >> Sure:<br>
> >><br>
> >> Dec 01 11:55:17 freeipa.rhelent.lan krb5kdc[7507](info): AS_REQ (3<br>
> >> etypes {17 23 16}) <a href="http://10.8.0.2" rel="noreferrer" target="_blank">10.8.0.2</a>: NEEDED_PREAUTH:<br>
> >> HTTP/s4u.rhelent.lan@RHELENT.LAN for krbtgt/RHELENT.LAN@RHELENT.LAN,<br>
> >> Additional pre-authentication required<br>
> >> Dec 01 11:55:18 freeipa.rhelent.lan krb5kdc[7507](info): AS_REQ (3<br>
> >> etypes {17 23 16}) <a href="http://10.8.0.2" rel="noreferrer" target="_blank">10.8.0.2</a>: ISSUE: authtime 1448988918, etypes<br>
> >> {rep=17 tkt=18 ses=17}, HTTP/s4u.rhelent.lan@RHELENT.LAN for<br>
> >> krbtgt/RHELENT.LAN@RHELENT.LAN<br>
> >> Dec 01 11:55:18 freeipa.rhelent.lan krb5kdc[7507](info): TGS_REQ (3<br>
> >> etypes {17 23 16}) <a href="http://10.8.0.2" rel="noreferrer" target="_blank">10.8.0.2</a>: ISSUE: authtime 1448988918, etypes<br>
> >> {rep=17 tkt=18 ses=17}, HTTP/s4u.rhelent.lan@RHELENT.LAN for<br>
> >> HTTP/s4u.rhelent.lan@RHELENT.LAN<br>
> >> Dec 01 11:55:18 freeipa.rhelent.lan krb5kdc[7507](info): ...<br>
> >> PROTOCOL-TRANSITION s4u-client=mmosley@RHELENT.LAN<br>
> >><br>
> >> Thanks<br>
> ><br>
> > I think for s4u2self you may have missed a conf step (we primarily use<br>
> > s4u2proxy in the product *without* any s4u2self step).<br>
> ><br>
> > Can you check that you followed the procedure described here:<br>
> > <a href="https://git.fedorahosted.org/cgit/freeipa.git/tree/daemons/ipa-kdb/README.s4u2proxy.txt#n90" rel="noreferrer" target="_blank">https://git.fedorahosted.org/cgit/freeipa.git/tree/daemons/ipa-kdb/README.s4u2proxy.txt#n90</a><br>
> ><br>
> > I think they key part is setting the +ok_to_auth_as_delegate flag which<br>
> > we do not provide an official higher level interface for yet.<br>
> ><br>
> > Simo.<br>
> ><br>
> > --<br>
> > Simo Sorce * Red Hat, Inc * New York<br>
> ><br>
<br>
<br>
--<br>
Simo Sorce * Red Hat, Inc * New York<br>
<br>
</blockquote></div>