<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></head><body><div style="font-family:Courier New,courier,monaco,monospace,sans-serif;font-size:12pt"><div>Alright, now im starting to get somewhere!<br>kadmin was not running, and I was getting<br>Jun 04 16:05:00 auth01.mydom.com krb5kdc[4001](info): AS_REQ (12 etypes {18 17 16 23 1 3 2 11 10 15 12 13}) 10.30.1.53: NEEDED_PREAUTH: test@MYDOM.COM for kadmin/changepw@MYDOM.COM, Additional pre-authentication required<br>Jun 04 16:05:00 auth01.mydom.com krb5kdc[4001](info): AS_REQ (12 etypes {18 17 16 23 1 3 2 11 10 15 12 13}) 10.30.1.53: ISSUE: authtime 1244145900, etypes {rep=18 tkt=18 ses=18}, test@MYDOM.COM for kadmin/changepw@MYDOM.COM<br>Jun 04 16:05:08 auth01.mydom.com krb5kdc[4001](info): AS_REQ (12 etypes {18 17 16 23 1 3 2 11 10 15 12 13}) 10.30.1.53: NEEDED_PREAUTH: kadmin/changepw@MYDOM.COM for krbtgt/MYDOM.COM@MYDOM.COM, Additional pre-authentication required<br>Jun 04 16:05:08
 auth01.mydom.com krb5kdc[4001](info): AS_REQ (12 etypes {18 17 16 23 1 3 2 11 10 15 12 13}) 10.30.1.53: ISSUE: authtime 1244145908, etypes {rep=18 tkt=18 ses=18}, kadmin/changepw@MYDOM.COM for krbtgt/MYDOM.COM@MYDOM.COM<br>Jun 04 16:05:08 auth01.mydom.com krb5kdc[4001](info): TGS_REQ (7 etypes {18 17 16 23 1 3 2}) 10.30.1.53: ISSUE: authtime 1244145908, etypes {rep=18 tkt=18 ses=18}, kadmin/changepw@MYDOM.COM for ldap/auth01.mydom.com@MYDOM.COM<br><br>/sbin/service kadmin start<br>/sbin/chkconfig kadmin on <br>now it hangs for a minute when changing the password, and I see the following in /var/log/messages.<br>Jun  4 16:47:02 auth01 kpasswd[19933]: Unable to read request: Key version number for principal in key table is incorrect<br>Jun  4 16:47:10 auth01 kpasswd[19935]: Unable to read request: Key version number for principal in key table is incorrect<br>Jun  4 16:47:19 auth01 kpasswd[19951]: Unable to read request: Key version number
 for principal in key table is incorrect<br><br>Note:  the above messages messages where from using the passwd command.  (In my previous posts i usually try passwd, kpasswd, and ipa-passwd).<br><br>I tried again with ipa-passwd and it worked right away!  Did an ldapsearch and can see that my expiration is now 200909...<br><br>Thanks everyone for your help with this.<br><br>Two more questions while on this topic.<br>1. Is it to be expected that passwords should be changed using ipa-password and not regular passwd?<br>2. Is there any documentation that shows the technical layout of how things are supposed to work, including the services and how they all integrate together?   I found a diagram online but it was very top level and didn't explain much more then I could have guessed without any ldap or kerberos experience.  I would create this myself, but I am clearly not the one for the task :)<br><br><br></div><div
 style="font-family: Courier New,courier,monaco,monospace,sans-serif; font-size: 12pt;"><br><div style="font-family: arial,helvetica,sans-serif; font-size: 13px;"><font size="2" face="Tahoma"><hr size="1"><b><span style="font-weight: bold;">From:</span></b> Simo Sorce <ssorce@redhat.com><br><b><span style="font-weight: bold;">To:</span></b> Dumbo Q <dumboq@yahoo.com><br><b><span style="font-weight: bold;">Cc:</span></b> Christian Horn <chorn@fluxcoil.net>; freeipa-users@redhat.com<br><b><span style="font-weight: bold;">Sent:</span></b> Thursday, June 4, 2009 4:15:00 PM<br><b><span style="font-weight: bold;">Subject:</span></b> Re: [Freeipa-users] Trouble with new installation<br></font><br>
On Thu, 2009-06-04 at 13:05 -0700, Dumbo Q wrote:<br>> That had me thinking that maybe the user was not allowed to access the<br>> specific machine. I've gone through the docs a few times, and cannot<br>> find where my problem may be.<br>> <br>> As a a test i created the following file<br>> dn: uid=test,cn=users,cn=accounts,dc=mydom,dc=com<br>> changetype: modify<br>> replace: krbPasswordExpiration<br>> krbPasswordExpiration: 20090605194542Z<br>> <br>> [root@auth01 ~]# ldapmodify -h localhost -xv -D cn="Directory Manager"<br>> -W -f /root/testexpire.ldif<br>> ldap_initialize( ldap://localhost )<br>> Enter LDAP Password:<br>> replace krbPasswordExpiration:<br>>         20090605194542Z<br>> modifying entry "uid=test,cn=users,cn=accounts,dc=mydom,dc=com"<br>> modify complete<br>> <br>> <br>> The test user was now able to login to the server as i had hoped.<br>> I ran the
 'passwd' command,  entered my kerb pass, then picked a new<br>> pass.<br>> /var/log/messages again said:<br>> Jun  4 15:58:40 auth01 kpasswd[18390]: Unable to bind to ldap server<br>> Jun  4 15:58:40 auth01 kpasswd[18390]: Server Error while performing<br>> LDAP password change<br>> <br>> what could be going wrong here?? <br>> i also tried running kinit, and then changing the passwd with the same<br>> results.<br><br>Have you tried to start kadmin by chance ?<br>I think I remember on some older versions the kadmin init script will<br>heppily generate a new kadmin/changepw secret making the one we stored<br>in the ipa-kpasswd specific keytab useless.<br><br>Can you check if you see errors in krb5kdc.log regarding obtaining a TGT<br>for kadmin/changepw ?<br><br>Simo.<br><br><br>-- <br>Simo Sorce * Red Hat, Inc * New York<br><br></div></div></div><br>



      </body></html>