<div dir="ltr"><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">Thanks. But my problem is not OTP per se but Kerberos thru Java. Specifically i'm getting below error.</div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default"><div class="gmail_default"><font face="monospace, monospace" size="1">javax.security.auth.login.LoginException: Pre-authentication information was invalid (24) - PREAUTH_FAILED</font></div><div class="gmail_default"><font face="monospace, monospace" size="1"><span class="" style="white-space:pre">        </span>at com.sun.security.auth.module.Krb5LoginModule.attemptAuthentication(Krb5LoginModule.java:804)</font></div><div class="gmail_default"><font face="monospace, monospace" size="1">Caused by: sun.security.krb5.KrbException: Pre-authentication information was invalid (24) - PREAUTH_FAILED</font></div><div class="gmail_default"><font face="monospace, monospace" size="1"><span class="" style="white-space:pre">      </span>at sun.security.krb5.KrbAsRep.<init>(KrbAsRep.java:82)</font></div><div class="gmail_default"><font face="monospace, monospace" size="1">Caused by: sun.security.krb5.Asn1Exception: Identifier doesn't match expected value (906)</font></div><div class="gmail_default"><font face="monospace, monospace" size="1"><span class="" style="white-space:pre">       </span>at sun.security.krb5.internal.KDCRep.init(KDCRep.java:140)</font></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">Any pointers ?</div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 1 March 2016 at 21:01, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, 01 Mar 2016, Prashant Bapat wrote:<br>
</span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
Hi,<br>
<br>
I'm trying to use Shibboleth IdP with FreeIPA and Kerberos Authentication.<br>
I'm aware of Ipsilon, just that Shibboleth is more suited for my use case.<br>
<br>
I've installed ipa-client on a server and connected it to ipa. Shibboleth<br>
is installed on this server and I'm able to get the Kerberos authentication<br>
working. Documented here<br></span>
<<a href="https://wiki.shibboleth.net/confluence/display/IDP30/KerberosAuthnConfiguration" rel="noreferrer" target="_blank">https://wiki.shibboleth.net/confluence/display/IDP30/KerberosAuthnConfiguration</a>><span class=""><br>
.<br>
<br>
However if I bring OTP into picture, authentication fails. Error message is<br>
like "Pre-authentication information was invalid (24) - PREAUTH_FAILED".<br>
<br>
Any pointers on how to make OTP work?<br>
</span></blockquote>
<a href="http://www.freeipa.org/page/V4/OTP" rel="noreferrer" target="_blank">http://www.freeipa.org/page/V4/OTP</a><br>
<a href="http://www.freeipa.org/page/V4/OTP/Detail" rel="noreferrer" target="_blank">http://www.freeipa.org/page/V4/OTP/Detail</a><span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>