<div dir="ltr"><div><div><div>I've found the problem, using DEBUG3 into SSH service:<br>---------------------------------------------------------------------------------<br>Nov 30 08:52:47 myserver sshd[9639]: debug1: Unspecified GSS failure.  Minor code may provide more information\nClock skew too great\n<br>Nov 30 08:52:47 myserver sshd[9639]: debug1: Got no client credentials<br>Nov 30 08:52:47 myserver sshd[9639]: debug3: mm_request_send entering: type 45<br>Nov 30 08:52:47 myserver sshd[9639]: debug3: userauth_finish: failure partial=0 next methods="publickey,gssapi-keyex,gssapi-with-mic,password" [preauth]<br>Nov 30 08:52:47 myserver sshd[9639]: debug1: Received SSH2_MSG_UNIMPLEMENTED for 7 [preauth]<br><br></div>My client was 4 minutes early than IPA server. After syncing time via ntpdate kerberos ticket authentication works correctly.<br><br></div>Thanks for your support, bye.<br></div>Morgan<br><div class="gmail_extra"><br><div class="gmail_quote">2015-11-27 18:38 GMT+01:00 Sumit Bose <span dir="ltr"><<a href="mailto:sbose@redhat.com" target="_blank">sbose@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, Nov 27, 2015 at 06:16:51PM +0100, Morgan Marodin wrote:<br>
> Yes:<br>
> ------<br>
> # ls -l /var/lib/sss/pubconf/krb5.include.d/<br>
> total 8<br>
> -rw-r--r-- 1 root root 208 Nov 27 17:37 domain_realm_ipa_mydomain_com<br>
> -rw-r--r-- 1 root root 118 Nov 27 17:37 localauth_plugin<br>
><br>
> So what could I try to do?<br>
<br>
</span>'getent passwd' should return the same entry for the user name you use<br>
at the login prompt and the Kerberos principal (its the name shown by<br>
klist in the 'Default principal:' line) e.g.:<br>
<br>
# getent passwd tu1@ad.devel<br>
tu1@ad.devel:*:1367201104:1367201104:t u:/home/ad.devel/tu1:/bin/sh<br>
# getent passwd tu1@AD.DEVEL<br>
tu1@ad.devel:*:1367201104:1367201104:t u:/home/ad.devel/tu1:/bin/sh<br>
<br>
>From the logs I guess you used the name '<a href="mailto:morgan.marodin@mydomain.com">morgan.marodin@mydomain.com</a>' at<br>
the login prompt.<br>
<br>
I assume you use ssh for the Kerberos/GSSAPI login. Please check on the<br>
client with klist if you got a service ticket for your linux client<br>
principal which should look like host/linux.client.name@IPA.DOMAIN. On<br>
Windows there is klist for the cmd shell as well.<br>
<br>
Additionally if there is a service ticket for the linux host sshd debug<br>
logs from the linux host would be useful. For this please set LogLevel to<br>
DEBUG3 in /etc/ssh/sshd_config (please note that the log might contain<br>
confidential keys or passwords).<br>
<br>
bye,<br>
Sumit<br>
<div class="HOEnZb"><div class="h5"><br>
> Thanks, Morgan<br>
><br>
> 2015-11-27 17:47 GMT+01:00 Sumit Bose <<a href="mailto:sbose@redhat.com">sbose@redhat.com</a>>:<br>
><br>
> > On Fri, Nov 27, 2015 at 05:35:42PM +0100, Morgan Marodin wrote:<br>
> > > Hi Sumit.<br>
> > ><br>
> > > I don't know why, but now kerberos ticket authentication is working on<br>
> > 6.7<br>
> > > clients.<br>
> > > On 7.2 clients now password authetications with Active Directory<br>
> > > credentials is working ... but not with kerberos ticket.<br>
> ><br>
> > This is most likely due to some issues while mapping the Kerberos<br>
> > principal to the local user name.<br>
> ><br>
> > Do you have a 'includedir /var/lib/sss/pubconf/krb5.include.d/' line at<br>
> > the beginning of you krb5.conf file? Does<br>
> > /var/lib/sss/pubconf/krb5.include.d/localauth_plugin exists?<br>
> ><br>
> > bye,<br>
> > Sumit<br>
> ><br>
</div></div></blockquote></div></div></div>