<font size=2 face="sans-serif">Hello</font>
<br>
<br><font size=2 face="sans-serif">I'm trying again to setup a pilot freeipa
infrastructure for linux/afs servers and windows clients. So the first
(and most hard) task is to join a "windows 7" into freeipa/kerberos.
<br>
I already read the available documentation and setup my pilot client with
the following parameters:<br>
<br>
ksetup /setdomain SAMPLE.CH</font>
<br><font size=2 face="sans-serif">ksetup /SetRealm SAMPLE.CH</font>
<br><font size=2 face="sans-serif">ksetup /AddKdc SAMPLE.CH freeipa.sample.ch</font>
<br><font size=2 face="sans-serif">ksetup /AddKpasswd SAMPLE.CH freeipa.sample.ch</font>
<br><font size=2 face="sans-serif">ksetup /SetComputerPassword MYPASSWORDHERE</font>
<br><font size=2 face="sans-serif">ksetup /MapUser * *<br>
<br>
Changed the available encryption types for kerberos in secpool.msc under
Local Policies/Security Options/Network Security/Network Security: Configure
encryption types allowed for Kerberos to:<br>
DES_CBC_CRC,DES_CBC_MD5,RC4_HMAC_MD5,AES128_HMAC_SHA1,AES256_HMAC_SHA1,
Furter encryption types</font>
<br><font size=2 face="sans-serif"><br>
Created a host principal in the freeipa webinterface and set the OTP to
MYPASSWORDHERE.<br>
<br>
The clock of the windows 7 machine is synced with the ntpd of the freeipa
server.<br>
<br>
When I try to login I get the usual password change request dialog on the
windows 7 client and the following krb5log entry:<br>
<br>
     Jul 31 10:39:05 freeipa.sample.ch krb5kdc[6780](info): AS_REQ
(7 etypes {18 17 23 3 1 24 -135}) 192.168.1.90: CLIENT KEY EXPIRED: isn-roland@SAMPLE.CH
for krbtgt/SAMPLE.CH@SAMPLE.CH, Password has expired<br>
<br>
When try to change the password I get only "The username or password
is wrong" with the following krb5log entries:<br>
<br>
   Jul 31 10:39:43 freeipa.sample.ch krb5kdc[6780](info): AS_REQ (7
etypes {18 17 23 3 1 24 -135}) 192.168.1.90: NEEDED_PREAUTH: isn-roland@SAMPLE.CH
for kadmin/changepw@SAMPLE.CH, Additional pre-authentication required</font>
<br><font size=2 face="sans-serif">   Jul 31 10:39:43 freeipa.sample.ch
krb5kdc[6780](info): preauth (timestamp) verify failure: Decrypt integrity
check failed</font>
<br><font size=2 face="sans-serif">   Jul 31 10:39:43 freeipa.sample.ch
krb5kdc[6780](info): AS_REQ (7 etypes {18 17 23 3 1 24 -135}) 192.168.1.90:
PREAUTH_FAILED: isn-roland@SAMPLE.CH for kadmin/changepw@SAMPLE.CH, Decrypt
integrity check failed</font>
<br><font size=2 face="sans-serif">   Jul 31 10:39:43 freeipa.sample.ch
krb5kdc[6780](info): preauth (timestamp) verify failure: Decrypt integrity
check failed</font>
<br><font size=2 face="sans-serif">   Jul 31 10:39:43 freeipa.sample.ch
krb5kdc[6780](info): AS_REQ (7 etypes {18 17 23 3 1 24 -135}) 192.168.1.90:
PREAUTH_FAILED: isn-roland@SAMPLE.CH for kadmin/changepw@SAMPLE.CH, Decrypt
integrity check failed<br>
<br>
After long googeling and long investigation, I can't see the issue behind
this problems. <br>
<br>
Does someone has setup a similar environment and give me some advice to
get this up and running?<br>
<br>
Regards<br>
<br>
Roland</font>
<br>