<p dir="ltr">If it's the admin account, there would be a pretty good likelihood of bruteforce attempts if your server is on the internet. One option is to rename it to something else.</p>
<div class="gmail_quote">On 17 May 2016 11:36 a.m., "Rich Megginson" <<a href="mailto:rmeggins@redhat.com">rmeggins@redhat.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 05/17/2016 08:18 AM, Rob Crittenden wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
John Duino wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Is there a (relatively easy) way to determine what is causing a user<br>
account to be locked out? The admin account on our 'primary' ipa host is<br>
locked out frequently, but somewhat randomly; sometimes it will be less<br>
than 5 minutes it is available, and other times several hours.<br>
<br>
ipa user-status admin will show something like:<br>
Failed logins: 6<br>
Last successful authentication: 20160516214142Z<br>
Last failed authentication: 20160516224718Z<br>
Time now: 2016-05-16T22:52:00Z<br>
<br>
ipa user-unlock admin  does unlock it.<br>
<br>
But parsing through the various logs on the affected host doesn't give<br>
me what I need to know, primarily, which host(s) are trying to access<br>
admin and causing it to lock.<br>
<br>
FreeIPA 4.2.0 on CentOS 7.2.1511<br>
</blockquote>
<br>
I think you'd need to poke around in the KDC and 389-ds access log to find the auth attempts. I guess I'd look for PREAUTH_FAILED in /var/log/krb5kdc.log and look for err=49 in the 389-ds logs and then correlate the conn value with a BIND to see who was authenticating.<br>
</blockquote>
<br>
For 389 you can use the <a href="http://logconv.pl" rel="noreferrer" target="_blank">logconv.pl</a> tool<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
rob<br>
<br>
</blockquote>
<br>
-- <br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</blockquote></div>