<div dir="ltr">Solved.<br>This turned out to be the ipa-otp process stuck on one of the 2 servers.<div>The VPN requests where being sent to the other server which was working fine</div><div><br></div><div>a simple restart of ipa fixed it.</div><div><br></div><div>Regards</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 28 February 2016 at 23:17, Alessandro De Maria <span dir="ltr"><<a href="mailto:alessandro.demaria@gmail.com" target="_blank">alessandro.demaria@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello,<div><br></div><div>since I upgraded to 4.2.0 on Centos, OTPs do not seem to work anymore.</div><div><div style="font-size:12.8px"><font face="monospace, monospace">Name        : ipa-server</font></div><div style="font-size:12.8px"><font face="monospace, monospace">Version     : 4.2.0</font></div><div style="font-size:12.8px"><font face="monospace, monospace">Release     : 15.el7_2.6</font></div></div><div style="font-size:12.8px"><font face="monospace, monospace"><br></font></div><div style="font-size:12.8px"><font face="arial, helvetica, sans-serif">The error I see in the </font></div><div style="font-size:12.8px"><div style="font-size:12.8px"><font face="monospace, monospace">Feb 28 23:01:40 id1 krb5kdc[2894](info): AS_REQ (6 etypes {18 17 16 23 25 26}) <a href="http://10.0.1.10" target="_blank">10.0.1.10</a>: NEEDED_PREAUTH: <a href="mailto:alessandro@XX.COM" target="_blank">alessandro@XX.COM</a> for krbtgt/<a href="mailto:XX.COM@XX.COM" target="_blank">XX.COM@XX.COM</a>, Additional pre-authentication required</font></div><div style="font-size:12.8px"><font face="monospace, monospace">Feb 28 23:01:41 <a href="http://id1.XX.com" target="_blank">id1.XX.com</a> krb5kdc[2896](info): AS_REQ (6 etypes {18 17 16 23 25 26}) <a href="http://10.0.1.10" target="_blank">10.0.1.10</a>: PREAUTH_FAILED: <a href="mailto:alessandro@XX.COM" target="_blank">alessandro@XX.COM</a> for krbtgt/<a href="mailto:XX.COM@XX.COM" target="_blank">XX.COM@XX.COM</a>, Incorrect password in encrypted challenge</font></div><div><br></div><div>I tried syncing the OTP and also creating a new one.</div><div>Strangely enough I can connect OK with the VPN supplying password + OTP, but OTP is not working on both freeipa gui and when issuing sudo.</div><div><br></div><div>Could someone help me understand what is going on?</div><div><br></div><div>Regards</div><span class="HOEnZb"><font color="#888888"><div>Alessandro</div><div><br></div></font></span></div><span class="HOEnZb"><font color="#888888"><div style="font-size:12.8px"><br></div><div>-- <br><div>Alessandro De Maria<br><a href="mailto:alessandro.demaria@gmail.com" target="_blank">alessandro.demaria@gmail.com</a></div>
</div></font></span></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">Alessandro De Maria<br><a href="mailto:alessandro.demaria@gmail.com" target="_blank">alessandro.demaria@gmail.com</a></div>
</div>