<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class=""><div class="h5"><br>
</div></div>The passwords will only show if they are in {crypt} format. If the<br>
password is changed in IPA it will use the default 389-ds password<br>
scheme which is a salted SHA.</blockquote><div><br></div><div>Yes, that's right. If the password is changed in IPA afterwards, it will stop working for NIS clients. This is the expected behaviour and that's fine. </div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"> It may be, though I didn't think this was<br>
the case, that the password is being re-hashed during kerberos key<br>
generation.</blockquote><div><br></div><div>The kerberos keys for these users shouldn't be generated at all right ? So far I have been using the special webui page (/ipa/migration) to elevate old users to regular IPA users. The migration webui page needs the plaintext password in order to generate the kerberos keys. Until the migration step is complete, there are no kerberos keys. And that seems all right. i.e. Elevation to IPA users should happen only intentionally. </div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<br>
How long will you need to keep these legacy systems? This sharing of the<br>
password hashes is one of the (many) reasons people are migrating from NIS.<br></blockquote><div> </div><div>These clients are actually not even that old. Most of them are on Ubuntu 12.04 or thereabouts. IPA client support on Ubuntu systems seems to be a bit buggy. I did manage to get it to work with ppas for ipa and sssd after some minor changes. This has improved in 14.04 from what I read, and it might be a better idea to bring the clients up to that before migrating. <br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<br>
A fix may be to change the 389-ds password hashing scheme to crypt but<br>
that may just let these NIS systems linger forever. So it's the typical<br>
balance of usability vs security.<br></blockquote><div><br></div><div>I don't think the problem is the hashing scheme itself.  The old users' passwords were encrypted using MD5 and that's how I had imported them. Changing the scheme to something else after importing won't affect these passwords anyway right ? Or do you mean that if I change 389-ds's scheme to MD5 now, even if these users are elevated to IPA users, their hashes will continue to be visible from NIS clients. I thought the encryption scheme itself, and whether on not NIS clients see the encrypted password were two separate issues. </div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<span class=""><font color="#888888"><br>
rob<br>
</font></span></blockquote></div><br></div></div>