<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, May 12, 2017 at 4:03 PM,  <span dir="ltr"><<a href="mailto:wouter.hummelink@kpn.com" target="_blank">wouter.hummelink@kpn.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div link="blue" vlink="purple" lang="EN-US">
<div class="m_2062774551344132276WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Yes, kinit works with IPA users. GSSAPI authentication is not keeping it simple, since we want passwords to work before trying TGS based logins over GSSAPI.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">The keytab works sinds lsuser is still able to get user data. (Documentation specifies that enabling krb5 in ldap.cfg makes the bind user and password moot,
 secldapclntd uses krb5 to identify itself to IPA)<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Also we are able to kinit
<a href="mailto:host/aixlpar.example.org@EXAMPLE.ORG" target="_blank">host/aixlpar.example.org@<wbr>EXAMPLE.ORG</a> -kt /etc/krb5/krb5.keytab</span></p></div></div></blockquote><div>If your kerberos client works (and it looks like it works as long as you can properly kinit)  the only option you have is to check the /var/log/krb5kdc.log on the IPA and /var/log/messages or whatever you have configured in syslog for auth. on the AIX client.  <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div link="blue" vlink="purple" lang="EN-US"><div class="m_2062774551344132276WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">We van try using su from an unprivileged user, but su has some different issues altogether, it doesn’t like @ in usernames which we need at the next stage (integrating
 AD Trust)<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Iulian Roman [mailto:<a href="mailto:iulian.roman@gmail.com" target="_blank">iulian.roman@gmail.com</a><wbr>]
<br>
<b>Sent:</b> vrijdag 12 mei 2017 15:56<br>
<b>To:</b> Hummelink, Wouter<br>
<b>Cc:</b> <a href="mailto:luiz.vianna@tivit.com.br" target="_blank">luiz.vianna@tivit.com.br</a>; <a href="mailto:freeipa-users@redhat.com" target="_blank">freeipa-users@redhat.com</a><br>
<b>Subject:</b> Re: [Freeipa-users] IPA Compat + ID Views + AIX 7.1<u></u><u></u></span></p>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<p class="MsoNormal">On Fri, May 12, 2017 at 3:31 PM, <<a href="mailto:wouter.hummelink@kpn.com" target="_blank">wouter.hummelink@kpn.com</a>> wrote:<u></u><u></u></p>
<div>
<div>
<p class="MsoNormal">The shell is shown correctly as ksh in lsuser, so that doesnt appear to be an issue for the ID view. <u></u><u></u></p>
</div>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">My advice would be to start simple ,prove that your authentication works and you can develop a more elaborated setup afterwards. If you combine them all together it will be a trial and error which eventually will work at some point.
<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">Do you have the correct keytabs in /etc/krb5/krb5.keytab ? can you run kinit (with password and with the keytab) from aix and get a ticket from Kerberos ? can you su to an IPA account ? do you have GSSAPIAuthentication
 enabled in sshd_config  ? <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">From what you've described i would suspect that your keytab is not correct , but that should be confirmed only by answering the questions above. 
<u></u><u></u></p>
</div>
<blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">
<div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div id="m_2062774551344132276m_-2572230151460738881composer_signature">
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;color:#364f67">Verzonden vanaf mijn Samsung-apparaat<u></u><u></u></span></p>
</div>
</div>
<p class="MsoNormal"><br>
<br>
-------- Oorspronkelijk bericht --------<br>
Van: Luiz Fernando Vianna da Silva <<a href="mailto:luiz.vianna@tivit.com.br" target="_blank">luiz.vianna@tivit.com.br</a>>
<br>
Datum: 12-05-17 15:03 (GMT+01:00) <br>
Aan: "Hummelink, Wouter" <<a href="mailto:wouter.hummelink@kpn.com" target="_blank">wouter.hummelink@kpn.com</a>>,
<a href="mailto:freeipa-users@redhat.com" target="_blank">freeipa-users@redhat.com</a>
<br>
Onderwerp: Re: [Freeipa-users] IPA Compat + ID Views + AIX 7.1 <u></u><u></u></p>
<div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<p><span style="font-family:"Arial","sans-serif"">Hello Wouter.</span><u></u><u></u></p>
<p><span style="font-family:"Arial","sans-serif"">It may seem silly, but try installing bash on one AIX server and test authenticating against that one.</span><u></u><u></u></p>
<p><span style="font-family:"Arial","sans-serif"">Its a single rpm with no dependencies. For me it did the trick and I ended up doing that on all my AIX servers.</span><u></u><u></u></p>
<p><span style="font-family:"Arial","sans-serif"">Let me know how it goes or if you have any issues.</span><u></u><u></u></p>
<div>
<div>
<p class="MsoNormal">Best <span class="m_2062774551344132276m-2572230151460738881spelle">
Regards</span><u></u><u></u></p>
<p class="MsoNormal"><b>______________________________<wbr>____________</b><u></u><u></u></p>
<p class="MsoNormal"><b>Luiz Fernando Vianna da Silva</b><u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
</div>
<div>
<p class="MsoNormal">Em 12-05-2017 09:47, <a href="mailto:wouter.hummelink@kpn.com" target="_blank">
wouter.hummelink@kpn.com</a> escreveu:<u></u><u></u></p>
</div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<div>
<p class="MsoNormal">Hi All,
<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">We’re running a POC to integrate IPA and AIX using AIX KRB5LDAP compound module.
<u></u><u></u></p>
<p class="MsoNormal">All the moving parts seem to be working on their own, however logging in doesn’t work with SSH on AIX reporting Failed password for user <xxx><u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">We’re using ID views to overwrite the user shell and home dirs. (Since AIX will refuse a login with a nonexisting shell (like bash))<u></u><u></u></p>
<p class="MsoNormal">AIXs lsuser command is able to find all of the users it’s supposed to and su to IPA users works.<u></u><u></u></p>
<p class="MsoNormal">Also when a user tries to log in I can see a successful Kerberos conversation to our IPA server.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">Tips for troubleshooting would be much appreciated, increasing SSH log level did not produce any meaningful logging.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">=============== Configuration Excerpt ==============================<wbr>==============================<wbr>====<u></u><u></u></p>
<p class="MsoNormal">/etc/security/ldap/ldap.cfg:<u></u><u></u></p>
<p class="MsoNormal">ldapservers:<a href="http://ipaserver.example.org" target="_blank">ipaserver.example.<wbr>org</a><u></u><u></u></p>
<p class="MsoNormal">binddn:uid=srvc-aixservice,cn=<wbr>users,cn=accounts,dc=example,<wbr>dc=org<u></u><u></u></p>
<p class="MsoNormal">bindpwd:{DESv2}<redacted><u></u><u></u></p>
<p class="MsoNormal">authtype:ldap_auth<u></u><u></u></p>
<p class="MsoNormal">useSSL:TLS<u></u><u></u></p>
<p class="MsoNormal">ldapsslkeyf:/etc/security/<wbr>ldap/example.kdb<u></u><u></u></p>
<p class="MsoNormal">ldapsslkeypwd:{DESv2}<wbr>4688216124E33174C03FBBB420 88FA8 932F219867AA7C2C552A12BEEC0CC6<wbr>7<u></u><u></u></p>
<p class="MsoNormal">useKRB5:yes<u></u><u></u></p>
<p class="MsoNormal">krbprincipal:host/<a href="http://aixlpar.example.org" target="_blank">aixlpar.<wbr>example.org</a><u></u><u></u></p>
<p class="MsoNormal">krbkeypath:/etc/krb5/krb5.<wbr>keytab<u></u><u></u></p>
<p class="MsoNormal">userattrmappath:/etc/security/<wbr>ldap/2307user.map<u></u><u></u></p>
<p class="MsoNormal">groupattrmappath:/etc/<wbr>security/ldap/2307group.map<u></u><u></u></p>
<p class="MsoNormal">userbasedn:cn=users,cn=<wbr>aixtest,cn=views,cn=compat,dc=<wbr>example,dc=org<u></u><u></u></p>
<p class="MsoNormal">groupbasedn:cn=groups,cn=<wbr>aixtest,cn=views,cn=compat,dc=<wbr>example,dc=org<u></u><u></u></p>
<p class="MsoNormal">netgroupbasedn:cn=ng,cn=<wbr>compat,dc=example,dc=org<u></u><u></u></p>
<p class="MsoNormal">automountbasedn:cn=default,cn=<wbr>automount,dc=example,dc=org<u></u><u></u></p>
<p class="MsoNormal">etherbasedn:cn=computers,cn=<wbr>accounts,dc=example,dc=org<u></u><u></u></p>
<p class="MsoNormal">userclasses:posixaccount,<wbr>account,shadowaccount<u></u><u></u></p>
<p class="MsoNormal">groupclasses:posixgroup<u></u><u></u></p>
<p class="MsoNormal"><span lang="NL">ldapport:389</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="NL">searchmode:ALL</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="NL">defaultentrylocation:LDAP</span><u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">/etc/security/user default:<u></u><u></u></p>
<p class="MsoNormal">SYSTEM = KRB5LDAP or compat<u></u><u></u></p>
<p class="MsoNormal"><b>/etc/methods.cfg</b><u></u><u></u></p>
<div style="border:none;border-left:solid windowtext 1.0pt;padding:0cm 0cm 0cm 4.0pt;margin-left:1.0cm">
<p class="m_2062774551344132276m-2572230151460738881codeblock" style="margin-left:11.35pt">LDAP:<u></u><u></u></p>
<p class="m_2062774551344132276m-2572230151460738881codeblock" style="margin-left:11.35pt">       program = /usr/lib/security/LDAP<u></u><u></u></p>
<p class="m_2062774551344132276m-2572230151460738881codeblock" style="margin-left:11.35pt">       program_64 =/usr/lib/security/LDAP64 <u></u><u></u></p>
<p class="m_2062774551344132276m-2572230151460738881codeblock" style="margin-left:11.35pt">NIS:<u></u><u></u></p>
<p class="m_2062774551344132276m-2572230151460738881codeblock" style="margin-left:11.35pt">       program = /usr/lib/security/NIS<u></u><u></u></p>
<p class="m_2062774551344132276m-2572230151460738881codeblock" style="margin-left:11.35pt">       program_64 = /usr/lib/security/NIS_64<u></u><u></u></p>
<p class="m_2062774551344132276m-2572230151460738881codeblock" style="margin-left:11.35pt">DCE:<u></u><u></u></p>
<p class="m_2062774551344132276m-2572230151460738881codeblock" style="margin-left:11.35pt">       program = /usr/lib/security/DCE<u></u><u></u></p>
<p class="m_2062774551344132276m-2572230151460738881codeblock" style="margin-left:11.35pt">KRB5:<u></u><u></u></p>
<p class="m_2062774551344132276m-2572230151460738881codeblock" style="margin-left:11.35pt">       program = /usr/lib/security/KRB5<u></u><u></u></p>
<p class="m_2062774551344132276m-2572230151460738881codeblock" style="margin-left:11.35pt">       program_64 = /usr/lib/security/KRB5_64<u></u><u></u></p>
<p class="m_2062774551344132276m-2572230151460738881codeblock" style="margin-left:11.35pt">       options = authonly,is_kadmind_compat=no,<wbr>tgt_verify=yes,kadmind=no,<wbr>keep_creds=yes,allow_expired_<wbr>pwd=no<u></u><u></u></p>
<p class="m_2062774551344132276m-2572230151460738881codeblock" style="margin-left:11.35pt"> <u></u><u></u></p>
<p class="m_2062774551344132276m-2572230151460738881codeblock" style="margin-left:11.35pt">KRB5LDAP:<u></u><u></u></p>
<p class="m_2062774551344132276m-2572230151460738881codeblock" style="margin-left:11.35pt">       options = auth=KRB5,db=LDAP<u></u><u></u></p>
</div>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal"><span lang="NL">Met vriendelijke groet,</span><u></u><u></u></p>
<div style="border:none;border-bottom:solid windowtext 1.0pt;padding:0cm 0cm 1.0pt 0cm">
<p class="MsoNormal"><span lang="NL">Wouter Hummelink</span><u></u><u></u></p>
</div>
<p class="MsoNormal"><span style="color:#1f497d" lang="NL">Technical Consultant - Enterprise Webhosting / Tooling & Automation</span><u></u><u></u></p>
<p class="MsoNormal"><span style="color:#1f497d" lang="NL">T:
<a href="tel:+31%206%2012882447" target="_blank">+31-6-12882447</a></span><u></u><u></u></p>
<p class="MsoNormal"><span style="color:#1f497d" lang="NL">E:
<a href="mailto:wouter.hummelink@kpn.com" target="_blank">wouter.hummelink@kpn.com</a></span><u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
</blockquote>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
</div>
</div>
</div>
<p class="MsoNormal"><br><span class="HOEnZb"><font color="#888888">
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/<wbr>mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<u></u><u></u></font></span></p>
</blockquote>
</div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
</div>
</div>
</div>

</blockquote></div><br></div></div>