<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Sep 8, 2014 at 11:44 AM, Gerardo Padierna <span dir="ltr"><<a href="mailto:asl.gerardo@gmail.com" target="_blank">asl.gerardo@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
  

    
  
  <div bgcolor="#FFFFFF" text="#000000">
    Hello folks,<br></div></blockquote><div><br></div><div>hi, <br><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div bgcolor="#FFFFFF" text="#000000">
    I'm setting up an IPA-server instance aimed to be used primarily for
    Linux/Unix clients ssh authentication (with kerberos). <br>
    I've managed to successfully set up debian clients (via sssd and
    also on older debians, through libnss and pam_krb5). But for some
    reason I can't authenticate ssh on Solaris10 clients. <br>
    On the Solaris box, I've followed the steps outiined here: <br>
    <a href="http://www.freeipa.org/page/ConfiguringUnixClients" target="_blank">http://www.freeipa.org/page/ConfiguringUnixClients</a><br>
    and the nss part works fine (things like getent [group | passwd] and
    id <user> work), but unfortunaltely, the ssh user
    authentication fails with an error:<br>
    sshd auth.error PAM-KRB5 (auth): krb5_verify_init_creds failed: No
    such file or directory<br>
    <br>
    On the solaris clients, does there need to be a keytab in /etc/krb5/
    directory copied over from the IPA server? </div></blockquote></div><br></div><div class="gmail_extra">I have integrated omnios (open solaris derivative) with ipa using these notes:<br><br><a href="http://test.asenjo.nl/index.php/Omnios_ipa_client">http://test.asenjo.nl/index.php/Omnios_ipa_client</a><br><br></div><div class="gmail_extra">that info may or may not be useful for solaris 10 as I have zero experiece with older solaris versions. But in principle, yes, you need a host keytab to login using kerberos SSO.<br><br></div><div class="gmail_extra">HTH.<br><br>-- <br></div><div class="gmail_extra">Regards,<br>natxo<br></div></div>