<div>I tried that but still cannot successfully log in as a IPA user. The same system can be configured as a Kerberos client(non-IPA) defined in  MIT Kerberos, and authenticate against MIT Kerberos. The system  uses AES when authenticating to MIT Kerberos so those are the only encryption types I defined manually. In the network trace for this transaction I see the error KRB_AP_ERR_BAD_INTEGRITY (31)<br>

</div><div><br></div><div>Commands used(different iterations):</div><div>ipa-getkeytab -s csp-idm.pdh.csp -p host/ews1-cybsec.pdh.csp -k krb5.keytab -P            [entering into the main keytab /etc/krb5.keytab]</div><div>

ipa-getkeytab -s csp-idm.pdh.csp -p host/ews1-cybsec.pdh.csp -k krb5.keytab.sys1 -P   [entering into a new keytab krb5.keytab.sys1]</div><div>ipa-getkeytab -s csp-idm.pdh.csp -p host/ews1-cybsec.pdh.csp -e aes256-cts-hmac-sha1-96 -k krb5.keytab -P<br>

ipa-getkeytab -s csp-idm.pdh.csp -p host/ews1-cybsec.pdh.csp -e aes128-cts-hmac-sha1-96 -k krb5.keytab -P<br></div><div>ipa-getkeytab -s csp-idm.pdh.csp -p host/ews1-cybsec.pdh.csp -e aes256-cts-hmac-sha1-96 -k krb5.keytab.sys1 -P<br>

ipa-getkeytab -s csp-idm.pdh.csp -p host/ews1-cybsec.pdh.csp -e aes128-cts-hmac-sha1-96 -k krb5.keytab.sys1 -P</div><div><br></div><div>Log entries:<br>Sep 15 21:21:04 csp-idm.pdh.csp krb5kdc[1227](info): AS_REQ (7 etypes {18 17 23 3 1 24 -135}) <a href="http://192.168.201.9">192.168.201.9</a>: NEEDED_PREAUTH: oper@PDH.CSP for krbtgt/PDH.CSP@PDH.CSP, Additional pre-authentication required<br>

Sep 15 21:21:04 csp-idm.pdh.csp krb5kdc[1227](info): preauth (timestamp) verify failure: Decrypt integrity check failed<br>Sep 15 21:21:04 csp-idm.pdh.csp krb5kdc[1227](info): AS_REQ (7 etypes {18 17 23 3 1 24 -135}) <a href="http://192.168.201.9">192.168.201.9</a>: PREAUTH_FAILED: oper@PDH.CSP for krbtgt/PDH.CSP@PDH.CSP, Decrypt integrity check failed<br>

Sep 15 21:21:04 csp-idm.pdh.csp krb5kdc[1227](info): preauth (timestamp) verify failure: Decrypt integrity check failed<br>Sep 15 21:21:04 csp-idm.pdh.csp krb5kdc[1227](info): AS_REQ (7 etypes {18 17 23 3 1 24 -135}) <a href="http://192.168.201.9">192.168.201.9</a>: PREAUTH_FAILED: oper@PDH.CSP for krbtgt/PDH.CSP@PDH.CSP, Decrypt integrity check failed</div>