<div dir="ltr"><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Thanks.</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Let me figure out possible alternatives. </div></div><div class="gmail_extra"><br><div class="gmail_quote">On 3 March 2016 at 00:20, Simo Sorce <span dir="ltr"><<a href="mailto:simo@redhat.com" target="_blank">simo@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
<br>
On Wed, 2016-03-02 at 16:25 +0530, Prashant Bapat wrote:<br>
> Thanks. But my problem is not OTP per se but Kerberos thru Java.<br>
> Specifically i'm getting below error.<br>
><br>
> javax.security.auth.login.LoginException: Pre-authentication information<br>
> was invalid (24) - PREAUTH_FAILED<br>
> at<br>
> com.sun.security.auth.module.Krb5LoginModule.attemptAuthentication(Krb5LoginModule.java:804)<br>
> Caused by: sun.security.krb5.KrbException: Pre-authentication information<br>
> was invalid (24) - PREAUTH_FAILED<br>
> at sun.security.krb5.KrbAsRep.<init>(KrbAsRep.java:82)<br>
> Caused by: sun.security.krb5.Asn1Exception: Identifier doesn't match<br>
> expected value (906)<br>
> at sun.security.krb5.internal.KDCRep.init(KDCRep.java:140)<br>
><br>
> Any pointers ?<br>
<br>
</span>Unfortunately Java tends to lag way behind with Krb5 and GSSAPI featurs<br>
an APIs (years behind). In this case what happens is that your Java<br>
module probably does not support FAST preauth.<br>
<span class=""><br>
> On 1 March 2016 at 21:01, Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com">abokovoy@redhat.com</a>> wrote:<br>
><br>
> > On Tue, 01 Mar 2016, Prashant Bapat wrote:<br>
> ><br>
> >> Hi,<br>
> >><br>
> >> I'm trying to use Shibboleth IdP with FreeIPA and Kerberos Authentication.<br>
> >> I'm aware of Ipsilon, just that Shibboleth is more suited for my use case.<br>
> >><br>
> >> I've installed ipa-client on a server and connected it to ipa. Shibboleth<br>
> >> is installed on this server and I'm able to get the Kerberos<br>
> >> authentication<br>
> >> working. Documented here<br>
> >> <<br>
> >> <a href="https://wiki.shibboleth.net/confluence/display/IDP30/KerberosAuthnConfiguration" rel="noreferrer" target="_blank">https://wiki.shibboleth.net/confluence/display/IDP30/KerberosAuthnConfiguration</a><br>
> >> ><br>
> >> .<br>
> >><br>
> >> However if I bring OTP into picture, authentication fails. Error message<br>
> >> is<br>
> >> like "Pre-authentication information was invalid (24) - PREAUTH_FAILED".<br>
> >><br>
> >> Any pointers on how to make OTP work?<br>
> >><br>
> > <a href="http://www.freeipa.org/page/V4/OTP" rel="noreferrer" target="_blank">http://www.freeipa.org/page/V4/OTP</a><br>
> > <a href="http://www.freeipa.org/page/V4/OTP/Detail" rel="noreferrer" target="_blank">http://www.freeipa.org/page/V4/OTP/Detail</a><br>
> ><br>
> > --<br>
> > / Alexander Bokovoy<br>
> ><br>
</span><span class="">> --<br>
> Manage your subscription for the Freeipa-users mailing list:<br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
<br>
<br>
--<br>
</span>Simo Sorce * Red Hat, Inc * New York<br>
<br>
</blockquote></div><br></div>