<div dir="ltr"><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">​If this is TOTP (time based) you want to double check the time is properly set in both the server (NTP) and the device that is generating the OTP tokens. I have had issues with this with my users couple of times. ​</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 7 June 2016 at 19:43, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, 07 Jun 2016, Winfried de Heiden wrote:<br>
</span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi all,<span class=""><br>
I tried the FreeIPA webUI, ssh and "su - otpuser", all the same result.<br>
</span></blockquote>
Ok.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
         Jun 07 14:44:37 ipa.blabla.bla krb5kdc[5887](info): AS_REQ<br>
         (6 etypes {18 17 16<br>
         23 25 26}) <a href="http://192.168.1.251" rel="noreferrer" target="_blank">192.168.1.251</a>: NEEDED_PREAUTH:<br>
         otpuser@BLABLA.BLA for krbtgt/<br>
         BLABLA.BLA@BLABLA.BLA, Additional pre-authentication<br>
         required<br>
         Jun 07 14:44:37 ipa.blabla.bla krb5kdc[5887](info): closing<br>
         down fd 12<br>
         Jun 07 14:44:42 ipa.blabla.bla krb5kdc[5888](info): preauth<br>
         (otp) verify<br>
         failure: Connection timed out<br>
<br>
         I just cannot figure out what's going wrong. What is trying<br>
         to connect to<br>
         causing this timeout? (yep, I disabled firewalld for<br>
         this...)<br>
</blockquote></span>
What is the output of  systemctl status ipa-otpd.socket<br>
?<br>
<br>
if it is disabled, do<br>
<br>
 systemctl enable ipa-otpd.socket<br>
 systemctl start ipa-otpd.socket<div class="HOEnZb"><div class="h5"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
<br>
-- <br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</div></div></blockquote></div><br></div>