<br><br><div class="gmail_quote">On Tue, May 15, 2012 at 3:24 PM, Simo Sorce <span dir="ltr"><<a href="mailto:simo@redhat.com" target="_blank">simo@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5">On Tue, 2012-05-15 at 14:21 -0700, Thomas Jackson wrote:<br>
> So going through the documentation it's clearly laid out not to use<br>
> kadmin or kadmin.local when using freeipa.  I have been unable to find<br>
> how to replace this functionality in the documentation.<br>
><br>
> If I could use kadmin.local on my kdc I would like to run the<br>
> following command....<br>
><br>
> modprinc +requires_hwauth user<br>
><br>
> Am I going to need to extend/modify the krb5 schema to modify<br>
> principals attributes in this way?<br>
><br>
</div></div>For this specific change you can use kadmin.local, but the IPA UI will<br>
not report you anything about it.<br>
<br>
The flags part is still a weak point of the Web UI, if you want you can<br>
open a RFE ticket to ask for better support for these flags, we need to<br>
do it at some point we simply haven't yet as we concentrated on more<br>
important and pressing issue this far.<br>
<span class="HOEnZb"><font color="#888888"><br>
Simo.<br>
<br>
--<br>
Simo Sorce * Red Hat, Inc * New York<br>
<br>
</font></span></blockquote></div><br>The following errors lead me to believe I am missing something as 
kadmin.local appears to have access issues when trying to modify a 
principle.<br><br>kadmin.local:  modprinc +requires_hwauth user<br>
modify_principal: User modification failed: Insufficient access while modifying "user".<br><br>For good measure I've modified /var/kerberos/krb5kdc/kadm5.<div id=":1f">acl with the correct ACLs for the domain and still encounter the same errors.<br>

<br>-ipa 2.1.3</div>