<div dir="ltr"><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">Hi, </div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">I'm trying to use Shibboleth IdP with FreeIPA and Kerberos Authentication. I'm aware of Ipsilon, just that Shibboleth is more suited for my use case. </div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">I've installed ipa-client on a server and connected it to ipa. Shibboleth is installed on this server and I'm able to get the Kerberos authentication working. Documented <a href="https://wiki.shibboleth.net/confluence/display/IDP30/KerberosAuthnConfiguration">here</a>.</div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">However if I bring OTP into picture, authentication fails. Error message is like "Pre-authentication information was invalid (24) - PREAUTH_FAILED". </div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">Any pointers on how to make OTP work?</div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">Regards.</div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">--Prashant</div></div>