<html><head></head><body>Exactly, this was the issue. After fixing the etc hosts configuration kerberos  authentication works fine for this machine without having this special krb option set. Thanks!<br><br><div class="gmail_quote">On 18 April 2014 15:49:50 CEST, Simo Sorce <simo@redhat.com> wrote:<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<pre class="k9mail">On Fri, 2014-04-18 at 10:14 +0200, David Kreuter wrote:<br /><blockquote class="gmail_quote" style="margin: 0pt 0pt 1ex 0.8ex; border-left: 1px solid #729fcf; padding-left: 1ex;"> klist -kt /etc/krb5.keytab showing me the right principals: <br /> <br /> <br /> <br /> KVNO Timestamp Principal <br /> ---- -----------------<hr /><br /> 1 04/16/14 23:12:58 host/<FQDN>@<kerberos realm> <br /> 1 04/16/14 23:12:58 host/<FQDN>@<kerberos realm> 1 04/16/14 23:12:58 host/<FQDN>@<kerberos realm> 1 04/16/14 23:12:58 host/<FQDN>@<kerberos realm> <br /> <br /> <br /> The principal for the machine are displayed with the right FQDN. Also the machine has the right hostname containing the right domain and the machine can be resolved correctly via DNS. <br /> <br /> <br /> I have added the mentioned option to kerberos configuration and the login with Kerberos authentication is working now: <br /> <br /> <br /> <br /> [libdefault
 s] <br
/> ignore_acceptor_hostname = true <br /> <br /> <br /> I'm still wondering what is wrong with the machine's configuration. <br /></blockquote><br />Do you have the shortname as first entry in /etc/hosts ?<br />If so put it second or remove it.<br /><br />Simo.<br /><br /><br /><blockquote class="gmail_quote" style="margin: 0pt 0pt 1ex 0.8ex; border-left: 1px solid #729fcf; padding-left: 1ex;"> ----- Original Message -----<br /> <br /> From: "Rob Crittenden" <rcritten@redhat.com> <br /> To: "David Kreuter" <david.kreuter@bytesource.net>, freeipa-users@redhat.com <br /> Sent: Thursday, 17 April, 2014 12:13:48 AM <br /> Subject: Re: [Freeipa-users] Keberos authentication - Unspecified GSS failure <br /> <br /> David Kreuter wrote: <br /><blockquote class="gmail_quote" style="margin: 0pt 0pt 1ex 0.8ex; border-left: 1px solid #ad7fa8; padding-left: 1ex;"> Yesterday I installed the FreeIPA client on machine and after the <br /> installation the login with password work
 ed
fine. After that I tried to <br /> login with a valid Kerberos ticket and it failed. First i traced the ssh <br /> login: <br /> <br /> ssh -vvv david@test.example.com <br /> ---cut--- <br /> debug2: key: /home/david/.ssh/id_rsa (0x7f2ad3112d80), <br /> debug2: key: /home/david/.ssh/id_dsa ((nil)), <br /> debug2: key: /home/david/.ssh/id_ecdsa ((nil)), <br /> debug1: Authentications that can continue: <br /> publickey,gssapi-keyex,gssapi-with-mic <br /> debug3: start over, passed a different list <br /> publickey,gssapi-keyex,gssapi-with-mic <br /> debug3: preferred <br /> gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password <br /> debug3: authmethod_lookup gssapi-keyex <br /> debug3: remaining preferred: <br /> gssapi-with-mic,publickey,keyboard-interactive,password <br /> debug3: authmethod_is_enabled gssapi-keyex <br /> debug1: Next authentication method: gssapi-keyex <br /> debug1: No valid Key exchange context <br /> debug2: we did not send a packet, disa
 ble
method <br /> debug3: authmethod_lookup gssapi-with-mic <br /> debug3: remaining preferred: publickey,keyboard-interactive,password <br /> debug3: authmethod_is_enabled gssapi-with-mic <br /> debug1: Next authentication method: gssapi-with-mic <br /> debug2: we sent a gssapi-with-mic packet, wait for reply <br /> debug1: Authentications that can continue: <br /> publickey,gssapi-keyex,gssapi-with-mic <br /> debug2: we sent a gssapi-with-mic packet, wait for reply <br /> debug1: Authentications that can continue: <br /> publickey,gssapi-keyex,gssapi-with-mic <br /> debug2: we sent a gssapi-with-mic packet, wait for reply <br /> debug1: Authentications that can continue: <br /> publickey,gssapi-keyex,gssapi-with-mic <br /> debug2: we sent a gssapi-with-mic packet, wait for reply <br /> debug1: Authentications that can continue: <br /> publickey,gssapi-keyex,gssapi-with-mic <br /> debug2: we did not send a packet, disable method <br /> debug3: authmethod_lookup publickey <br /> 
 debug3:
remaining preferred: keyboard-interactive,password <br /> debug3: authmethod_is_enabled publickey <br /> debug1: Next authentication method: publickey <br /> debug1: Offering RSA public key: /home/david/.ssh/id_rsa <br /> debug3: send_pubkey_test <br /> debug2: we sent a publickey packet, wait for reply <br /> debug1: Authentications that can continue: <br /> publickey,gssapi-keyex,gssapi-with-mic <br /> debug1: Trying private key: /home/david/.ssh/id_dsa <br /> debug3: no such identity: /home/david/.ssh/id_dsa: No such file or directory <br /> debug1: Trying private key: /home/david/.ssh/id_ecdsa <br /> debug3: no such identity: /home/david/.ssh/id_ecdsa: No such file or <br /> directory <br /> debug2: we did not send a packet, disable method <br /> debug1: No more authentication methods to try. <br /> Permission denied (publickey,gssapi-keyex,gssapi-with-mic). <br /> ---cut--- <br /> <br /> Then I enabled the log for SSH on the IPA client machine and faced <br /> following 
 error:
<br /> <br /> ---cut--- <br /> Apr 16 23:43:18 infra01 sshd[9941]: debug1: attempt 0 failures 0 <br /> Apr 16 23:43:18 infra01 sshd[9940]: debug1: PAM: initializing for "david" <br /> Apr 16 23:43:18 infra01 sshd[9940]: debug1: PAM: setting PAM_RHOST to <br /> "<a href="http://10.100.3.2">10.100.3.2</a>" <br /> Apr 16 23:43:18 infra01 sshd[9940]: debug1: PAM: setting PAM_TTY to "ssh" <br /> Apr 16 23:43:18 infra01 sshd[9941]: debug1: userauth-request for user <br /> david service ssh-connection method gssapi-with-mic <br /> Apr 16 23:43:18 infra01 sshd[9941]: debug1: attempt 1 failures 0 <br /> Apr 16 23:43:18 infra01 sshd[9940]: debug1: Unspecified GSS failure. <br /> Minor code may provide more information\nNo key table entry found <br /> matching host/infra01@\n <br /> ---cut--- <br /> <br /> Unspecified GSS failure. Minor code may provide more information.No key <br /> table entry found matching host/infra01@\n. <br /> <br /> After that I tried to receive a ticket on the 
 IPA
client machine and <br /> everything worked fine: <br /> <br /> kinit <user> <br /> klist <br /> Ticket cache: FILE:/tmp/krb5cc_0 <br /> Default principal: david@<realm>.INFO <br /> <br /> Valid starting Expires Service principal <br /> 04/16/14 23:24:51 04/17/14 23:24:47 krbtgt/... <br /> 04/16/14 23:25:51 04/17/14 23:24:47 host/... <br /> <br /> kvno -k /etc/krb5.keytab host/... <br /> host/...: kvno = 1, keytab entry valid <br /> <br /> So the Kerberos setup on the machine seems to be fine, but still the <br /> login SSH using Keberos is not working. GSSAPI is correctly enabled in <br /> the sshd configuration file. Any hint is highly appreciated. Thanks. <br /> <br /></blockquote> <br /> Seems like sshd looked for the wrong key. Run klist -kt /etc/krb5.keytab <br /> and see what principal is there. sshd didn't look for a FQDN according <br /> to your log. <br /> <br /> rob <br /> <br /> <br /><hr /><br /> Freeipa-users mailing list<br /> Freeipa-users@redhat.c
 om<br
/> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br /></blockquote><br /></pre></blockquote></div></body></html>