<div dir="ltr">I figured it out. The problem was the user's UID being too low. In the client's /var/log/secure log, I found this: <div><br></div><div><span id="docs-internal-guid-ff27857a-a236-a8b4-34fc-8265981108da"><span style="font-size:14.6667px;font-family:Arial;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">sshd[25010]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "user1"</span></span><br></div><div><span><span style="font-size:14.6667px;font-family:Arial;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent"><br></span></span></div><div><font color="#000000" face="Arial"><span style="font-size:14.6667px;white-space:pre-wrap">The user that was failing to authenticate via password had a UID lower than 1000. When I allowed IPA to set a random UID, the login with migrated password worked (although it didn't prompt to reset password for this user and I'm still figuring out NFSv4 access for users). The NIS domain I am migrating from is several years old, from the era when it was normal to have users start in the 500s. So, I need to migrate UIDs simultaneously.  </span></font></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jun 30, 2016 at 8:16 AM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Joanna Delaporte wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
I am migrating an NIS domain to IPA. I have attempted to follow the<br>
instructions<br></span>
<<a href="http://www.freeipa.org/page/NIS_accounts_migration_preserving_Passwords" rel="noreferrer" target="_blank">http://www.freeipa.org/page/NIS_accounts_migration_preserving_Passwords</a>> for<span class=""><br>
NIS account crypted password migration, but I haven't yet successfully<br>
used password authentication to log in to remote machines.<br>
<br>
The instructions expect I would migrate DES-encrypted passwords, but I<br>
have a mixture of md5 and sha512-encrypted passwords. Do I need to<br>
follow a different process, or am I chasing the wrong problem?<br>
<br>
This is my first IPA realm.<br>
</span></blockquote>
<br>
If you have crypt-compatible passwords ($6$<huge string>) then just pass it in as {crypt}$6$... and it should work fine.<br>
<br>
You can ONLY set a pre-hashed password in migration mode AND when adding the user. You can't add the user then set a hashed password.<span class="HOEnZb"><font color="#888888"><br>
<br>
rob<br>
<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><br><br>Joanna Delaporte<br>Linux Systems Administrator | Parkland College<br><a href="mailto:joannadelaporte@gmail.com" target="_blank">joannadelaporte@gmail.com</a><br></div>
</div>