<div dir="ltr">My first time posting. I didn't realize I needed to reply-all to include the group. Oops!<div><br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Joanna Delaporte</b> <span dir="ltr"><<a href="mailto:joannadelaporte@gmail.com">joannadelaporte@gmail.com</a>></span><br>Date: Thu, Jun 30, 2016 at 10:21 AM<br>Subject: Re: [Freeipa-users] How to migrate users with md5 and sha512 passwords<br>To: Rob Crittenden <<a href="mailto:rcritten@redhat.com">rcritten@redhat.com</a>><br><br><br><div dir="ltr">Hi Rob, <div><br></div><div>Thanks for the clarification on the migration being able to handle standard crypt passwords of the standard hash types. I seem to have one user that worked and one that didn't. I'm migrating about 4000 users, but I only have two users' passwords to test. The password that hasn't worked is about 20 chars long in cleartext. Do you know if there is a character length limit for the passwords? </div><div><br></div><div>Today I'll be deleting and re-adding those two users a few times while I try to figure out what I am missing. What is the best way to make sure the client has an updated password accessible to sssd? I looked through the RHEL 7 Domain Identity, Auth, and Policy Guide and didn't find a recommended procedure for refreshing sssd cache. Should I restart the sssd service on the IPA client when I delete/readd a user with a crypt password?</div><div><br></div><div>I do have sshd set with ChallengeResponseAuthentication yes.</div><div><br></div><div>Thanks!<span class="HOEnZb"><font color="#888888"><br>Joanna </font></span></div></div><div class="gmail_extra"><div><div class="h5"><br><div class="gmail_quote">On Thu, Jun 30, 2016 at 8:16 AM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Joanna Delaporte wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>
I am migrating an NIS domain to IPA. I have attempted to follow the<br>
instructions<br></span>
<<a href="http://www.freeipa.org/page/NIS_accounts_migration_preserving_Passwords" rel="noreferrer" target="_blank">http://www.freeipa.org/page/NIS_accounts_migration_preserving_Passwords</a>> for<span><br>
NIS account crypted password migration, but I haven't yet successfully<br>
used password authentication to log in to remote machines.<br>
<br>
The instructions expect I would migrate DES-encrypted passwords, but I<br>
have a mixture of md5 and sha512-encrypted passwords. Do I need to<br>
follow a different process, or am I chasing the wrong problem?<br>
<br>
This is my first IPA realm.<br>
</span></blockquote>
<br>
If you have crypt-compatible passwords ($6$<huge string>) then just pass it in as {crypt}$6$... and it should work fine.<br>
<br>
You can ONLY set a pre-hashed password in migration mode AND when adding the user. You can't add the user then set a hashed password.<span><font color="#888888"><br>
<br>
rob<br>
<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div></div></div><span class="">-- <br><div data-smartmail="gmail_signature"><br><br>Joanna Delaporte<br>Linux Systems Administrator | Parkland College<br><a href="mailto:joannadelaporte@gmail.com" target="_blank">joannadelaporte@gmail.com</a><br></div>
</span></div>
</div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><br><br>Joanna Delaporte<br>Linux Systems Administrator | Parkland College<br><a href="mailto:joannadelaporte@gmail.com" target="_blank">joannadelaporte@gmail.com</a><br></div>
</div></div>