<div dir="ltr"><div><div>SOLVED.<br><br></div>realm-proxy has to be indirect member of : <br>memberofindirect: cn=manage host keytab,cn=privileges,cn=pbac,dc=example,dc=com<br><br></div>Thanks for your help.<br></div><div class="gmail_extra"><br><div class="gmail_quote">2014-09-09 16:59 GMT+02:00 Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">James James wrote:<br>
> My user : realm-proxy is in a group (Smart Proxy Host Management) which<br>
> has the Manager host  keytab permission :<br>
><br>
>   Permission name: Manage host keytab<br>
>   Permissions: write<br>
>   Attributes: krbprincipalkey, krblastpwdchange<br>
>   Type: host<br>
>   Granted to Privilege: Host Administrators, Host Enrollment, Smart<br>
> Proxy Host Management<br>
><br>
><br>
> When I try to retreive a keytab from another host when my principal is<br>
> the realm-proxy :<br>
><br>
><br>
> [root@client1 ~]#  kinit <a href="mailto:realm-proxy@EXAMPLE.COM">realm-proxy@EXAMPLE.COM</a><br>
</span>> <mailto:<a href="mailto:realm-proxy@EXAMPLE.COM">realm-proxy@EXAMPLE.COM</a>> -k -t /tmp/freeipa.keytab<br>
<span class="">><br>
> [root@client1 ~]# klist<br>
><br>
> Ticket cache: KEYRING:persistent:0:0<br>
</span>> Default principal: <a href="mailto:realm-proxy@EXAMPLE.COM">realm-proxy@EXAMPLE.COM</a> <mailto:<a href="mailto:realm-proxy@EXAMPLE.COM">realm-proxy@EXAMPLE.COM</a>><br>
<span class="">><br>
> Valid starting       Expires              Service principal<br>
> 09/09/2014 14:35:50  09/10/2014 14:35:50  krbtgt/<a href="mailto:EXAMPLE.COM@EXAMPLE.COM">EXAMPLE.COM@EXAMPLE.COM</a><br>
</span>> <mailto:<a href="mailto:EXAMPLE.COM@EXAMPLE.COM">EXAMPLE.COM@EXAMPLE.COM</a>><br>
<span class="">><br>
> [root@client1 ~]# ipa-getkeytab  --server=<a href="http://ipa.example.com" target="_blank">ipa.example.com</a><br>
</span>> <<a href="http://ipa.example.com" target="_blank">http://ipa.example.com</a>> --principal=host/<a href="http://client1.example.com" target="_blank">client1.example.com</a><br>
> <<a href="http://client1.example.com" target="_blank">http://client1.example.com</a>> --keytab=/etc/krb5.keytab<br>
<span class="">> Operation failed! Insufficient access rights<br>
><br>
><br>
> I can't retrieve the key ..<br>
<br>
</span>I'd need to see the smart-proxy user, show --all --raw would be best.<br>
<br>
I just tested this on a RHEL-6 instance I had handy and it worked fine:<br>
<br>
# ipa user-add --first=test --last=user tuser1 --password<br>
# ipa role-add 'host keytab' --desc 'manage host keytabs'<br>
# ipa privilege-add 'manage host keytab' --desc 'manage host keytabs'<br>
# ipa privilege-add-permission 'manage host keytab'<br>
--permissions='manage host keytab'<br>
# ipa role-add-privilege 'host keytab' --privileges='manage host keytab'<br>
# ipa role-add-member --users=tuser1 'host keytab'<br>
# kinit tuser1<br>
# ipa-getkeytab -s `hostname` -k /tmp/test.keytab -p host/<a href="http://test.example.com" target="_blank">test.example.com</a><br>
Keytab successfully retrieved and stored in: /tmp/test.keytab<br>
<br>
rob<br>
<span class=""><br>
><br>
> 2014-09-09 16:14 GMT+02:00 Rob Crittenden <<a href="mailto:rcritten@redhat.com">rcritten@redhat.com</a><br>
</span>> <mailto:<a href="mailto:rcritten@redhat.com">rcritten@redhat.com</a>>>:<br>
<span class="">><br>
>     James James wrote:<br>
>     > My IPA version is 3.0.0 .<br>
>     > Thanks<br>
><br>
>     The permission 'Manage host keytab' should do the trick.<br>
><br>
>     rob<br>
><br>
>     ><br>
>     > 2014-09-09 1:22 GMT+02:00 Dmitri Pal <<a href="mailto:dpal@redhat.com">dpal@redhat.com</a> <mailto:<a href="mailto:dpal@redhat.com">dpal@redhat.com</a>><br>
</span>>     > <mailto:<a href="mailto:dpal@redhat.com">dpal@redhat.com</a> <mailto:<a href="mailto:dpal@redhat.com">dpal@redhat.com</a>>>>:<br>
<div class="HOEnZb"><div class="h5">>     ><br>
>     >     On 09/08/2014 06:52 PM, James James wrote:<br>
>     >>     Hi everybody,<br>
>     >><br>
>     >>     I want a user to be able to do ipa-getkeytab to retrieve the keys<br>
>     >>     from any host in the realm.<br>
>     >><br>
>     >>     How can I do this ?<br>
>     >><br>
>     >>     Where I can find an ACI example<br>
>     >><br>
>      (<a href="https://www.redhat.com/archives/freeipa-users/2010-July/msg00024.html" target="_blank">https://www.redhat.com/archives/freeipa-users/2010-July/msg00024.html</a>)<br>
>     >>     which can helps me ?<br>
>     >><br>
>     >><br>
>     >>     Thanks for your help.<br>
>     >><br>
>     >><br>
>     >><br>
>     >><br>
>     >     Which version of IPA?<br>
>     >     There reason for the question is because in FreeIPA 4.0 the ACIs<br>
>     >     were significantly reworked.<br>
>     ><br>
>     >     --<br>
>     >     Thank you,<br>
>     >     Dmitri Pal<br>
>     ><br>
>     >     Sr. Engineering Manager IdM portfolio<br>
>     >     Red Hat, Inc.<br>
>     ><br>
>     ><br>
>     >     --<br>
>     >     Manage your subscription for the Freeipa-users mailing list:<br>
>     >     <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
>     >     Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
>     ><br>
>     ><br>
>     ><br>
>     ><br>
><br>
><br>
<br>
</div></div></blockquote></div><br></div>