<html><body><p>Sorry.. listing ouput of klist -e and klist -ke...  but kinit -k does not seem to be working if I have it right.. kinit -kt is more promising but still fails<br><br><br><b>Klists</b><br><br>[root@server1 read]# klist -e<br>Ticket cache: KEYRING:persistent:111111111:11111111111<br>Default principal: admin@ipa.local<br><br>Valid starting       Expires              Service principal<br>11/16/2016 10:44:02  11/17/2016 10:43:54  krbtgt/ipa.local@IPA.LOCAL<br>        Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96<br><br><br>[root@server1 read]# klist -ke<br>Keytab name: FILE:/etc/krb5.keytab<br>KVNO Principal<br>---- --------------------------------------------------------------------------<br>   1 host/server1.ipa.local@IPA.LOCAL (aes256-cts-hmac-sha1-96) <br>   1 host/server1.ipa.local@IPA.LOCAL (aes128-cts-hmac-sha1-96) <br>   1 host/server1.ipa.local@IPA.LOCAL (des3-cbc-sha1) <br>   1 host/server1.ipa.local@IPA.LOCAL (arcfour-hmac)<br><br><br><br><b>Kinits </b><br><br>[root@server1 read]# kinit -k /etc/krb5.keytab host/server1.ipa.local<br>Extra arguments (starting with "host/server1.ipa.local").<br>Usage: kinit [-V] [-l lifetime] [-s start_time] <br>        [-r renewable_life] [-f | -F] [-p | -P] -n [-a | -A] [-C] <br>        [-E] <br>        [-v] [-R] [-k [-i|-t keytab_file]] [-c cachename] <br>        [-S service_name] [-T ticket_armor_cache]<br>        [-X <attribute>[=<value>]] [principal]<br><br>    options:        -V verbose<br>        -l lifetime<br>        -s start time<br>        -r renewable lifetime<br>        -f forwardable<br>        -F not forwardable<br>        -p proxiable<br>        -P not proxiable<br>        -n anonymous<br>        -a include addresses<br>        -A do not include addresses<br>        -v validate<br>        -R renew<br>        -C canonicalize<br>        -E client is enterprise principal name<br>        -k use keytab<br>        -i use default client keytab (with -k)<br>        -t filename of keytab to use<br>        -c Kerberos 5 cache name<br>        -S service<br>        -T armor credential cache<br>        -X <attribute>[=<value>]<br><br>[root@server1 read]# kinit -kt /etc/krb5.keytab host/server1.ipa.local<br>kinit: Cannot contact any KDC for realm 'IPA.LOCAL' while getting initial credentials<br>[root@server1 read]# kinit -kt /etc/krb5.keytab host/server1.ipa.local<br>kinit: Program lacks support for encryption type while getting initial credentials<br><br><br>Sean Hogan<br><br><font size="2" face="Verdana"><br></font><img src="cid:1__=88BB0AFEDFCF420E8f9e8a93df938690918c88B@" width="67" height="53" align="top"><font size="2" face="Verdana">  </font><img src="cid:2__=88BB0AFEDFCF420E8f9e8a93df938690918c88B@" width="60" height="51" align="top"><br><br><br><br><br><img width="16" height="16" src="cid:3__=88BB0AFEDFCF420E8f9e8a93df938690918c88B@" border="0" alt="Inactive hide details for Martin Babinsky ---11/16/2016 09:33:08 AM---On 11/16/2016 05:14 PM, Sean Hogan wrote: > Hi Jakub,"><font color="#424282">Martin Babinsky ---11/16/2016 09:33:08 AM---On 11/16/2016 05:14 PM, Sean Hogan wrote: > Hi Jakub,</font><br><br><font size="2" color="#5F5F5F">From:        </font><font size="2">Martin Babinsky <mbabinsk@redhat.com></font><br><font size="2" color="#5F5F5F">To:        </font><font size="2">Sean Hogan/Durham/IBM@IBMUS, Jakub Hrozek <jhrozek@redhat.com></font><br><font size="2" color="#5F5F5F">Cc:        </font><font size="2">freeipa-users@redhat.com</font><br><font size="2" color="#5F5F5F">Date:        </font><font size="2">11/16/2016 09:33 AM</font><br><font size="2" color="#5F5F5F">Subject:        </font><font size="2">Re: [Freeipa-users] Rhel 7 client enroll to Rhel 6 IPA server</font><br><hr width="100%" size="2" align="left" noshade style="color:#8091A5; "><br><br><br><tt>On 11/16/2016 05:14 PM, Sean Hogan wrote:<br>> Hi Jakub,<br>><br>> Thanks... here is output<br>><br>><br>> *klist -ke*<br>> [root@server1 rusers]# klist -ke<br>> Keytab name: FILE:/etc/krb5.keytab<br>> KVNO Principal<br>> ----<br>> --------------------------------------------------------------------------<br>> 1 host/server1.ipa.local@IPA.LOCAL (aes256-cts-hmac-sha1-96)<br>> 1 host/server1.ipa.local@IPA.LOCAL (aes128-cts-hmac-sha1-96)<br>> 1 host/server1.ipa.local@IPA.LOCAL (des3-cbc-sha1)<br>> 1 host/server1.ipa.local@IPA.LOCAL (arcfour-hmac)<br>><br>><br>><br>> *kinit -k odd though as kinit -k seems to fail but kinit with admin<br>> seems to work indicating I can hit the KDC even though kinit -k says I<br>> cannot?*<br>><br>> [root@server1 pam.d]# kinit -k server1<br>> kinit: Keytab contains no suitable keys for server1@IPA.LOCAL while<br>> getting initial credentials<br>> [root@server1 pam.d]# kinit -k server1.IPA.LOCAL<br>> kinit: Keytab contains no suitable keys for server1.IPA.LOCAL@IPA.LOCAL<br>> while getting initial credentials<br>You need to specify full principal name as printed from klist command, <br>i.e. kinit -k /etc/krb5.keytab host/server1.ipa.local<br><br>> [root@server1 pam.d]# kinit admin<br>> Password for admin@ipa.local:<br>> [root@server1 pam.d]#<br>> [root@server1 pam.d]# klist<br>> Ticket cache: KEYRING:persistent:1111111111:1111111111<br>> Default principal: admin@IPA.LOCAL<br>><br>> Valid starting Expires Service principal<br>> 11/16/2016 10:44:02 11/17/2016 10:43:54 krbtgt/IPA.LOCAL@IPA.LOCAL<br>><br>> [root@server1 pam.d]# ktutil<br>> ktutil: rkt /etc/krb5.keytab<br>> ktutil: l<br>> slot KVNO Principal<br>> ---- ----<br>> ---------------------------------------------------------------------<br>> 1 1 host/server1.ipa.local@IPA.LOCAL<br>> 2 1 host/server1.ipa.local@IPA.LOCAL<br>> 3 1 host/server1.ipa.local@IPA.LOCAL<br>> 4 1 host/server1.ipa.local@IPA.LOCAL<br>><br>><br>><br>> *Added debug_level = 10 on the domain section of sssd.conf and restarted<br>> is all I see*<br>> [root@server1 sssd]# cat ldap_child.log<br>> (Wed Nov 16 10:57:50 2016) [[sssd[ldap_child[18951]]]]<br>> [ldap_child_get_tgt_sync] (0x0010): Failed to init credentials: Program<br>> lacks support for encryption type<br>> (Wed Nov 16 10:57:50 2016) [[sssd[ldap_child[18954]]]]<br>> [ldap_child_get_tgt_sync] (0x0010): Failed to init credentials: Program<br>> lacks support for encryption type<br>> (Wed Nov 16 10:57:56 2016) [[sssd[ldap_child[18956]]]]<br>> [ldap_child_get_tgt_sync] (0x0010): Failed to init credentials: Program<br>> lacks support for encryption type<br>> (Wed Nov 16 10:57:56 2016) [[sssd[ldap_child[18957]]]]<br>> [ldap_child_get_tgt_sync] (0x0010): Failed to init credentials: Program<br>> lacks support for encryption type<br>> (Wed Nov 16 10:58:02 2016) [[sssd[ldap_child[18958]]]]<br>> [ldap_child_get_tgt_sync] (0x0010): Failed to init credentials: Program<br>> lacks support for encryption type<br>> (Wed Nov 16 10:59:26 2016) [[sssd[ldap_child[18977]]]]<br>> [ldap_child_get_tgt_sync] (0x0010): Failed to init credentials: Program<br>> lacks support for encryption type<br>><br>><br>><br>><br>> *Additonal:*<br>><br>> [root@server1 rusers]# systemctl -l status sssd.service<br>> sssd.service - System Security Services Daemon<br>> Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled)<br>> Drop-In: /etc/systemd/system/sssd.service.d<br>> „€journal.conf<br>> Active: active (running) since Wed 2016-11-16 10:30:43 EST; 17s ago<br>> Process: 3041 ExecStart=/usr/sbin/sssd -D -f (code=exited, status=0/SUCCESS)<br>> Main PID: 3042 (sssd)<br>> CGroup: /system.slice/sssd.service<br>> †€3042 /usr/sbin/sssd -D -f<br>> †€3043 /usr/libexec/sssd/sssd_be --domain ipa.local --uid 0 --gid 0<br>> --debug-to-files<br>> †€3044 /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --debug-to-files<br>> †€3045 /usr/libexec/sssd/sssd_sudo --uid 0 --gid 0 --debug-to-files<br>> †€3046 /usr/libexec/sssd/sssd_pam --uid 0 --gid 0 --debug-to-files<br>> †€3047 /usr/libexec/sssd/sssd_ssh --uid 0 --gid 0 --debug-to-files<br>> „€3048 /usr/libexec/sssd/sssd_pac --uid 0 --gid 0 --debug-to-files<br>><br>> Nov 16 10:30:43 server1.ipa.local sssd[3042]: Starting up<br>> Nov 16 10:30:43 server1.ipa.local sssd[be[ipa.local]][3043]: Starting up<br>> Nov 16 10:30:43 server1.ipa.local sssd[sudo][3045]: Starting up<br>> Nov 16 10:30:43 server1.ipa.local sssd[pam][3046]: Starting up<br>> Nov 16 10:30:43 server1.ipa.local sssd[nss][3044]: Starting up<br>> Nov 16 10:30:43 server1.ipa.local sssd[ssh][3047]: Starting up<br>> Nov 16 10:30:43 server1.ipa.local sssd[pac][3048]: Starting up<br>> Nov 16 10:30:43 server1.ipa.local systemd[1]: Started System Security<br>> Services Daemon.<br>> Nov 16 10:30:55 server1.ipa.local [sssd[ldap_child[3055]]][3055]: Failed<br>> to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]:<br>> Decrypt integrity check failed. Unable to create GSSAPI-encrypted LDAP<br>> connection.<br>> [root@server1 rusers]#<br>><br>> Seeing this in /var/log/sssd/sssd_ipa.local.log<br>><br>> (Tue Nov 15 20:04:39 2016) [sssd[be[ipa.local]]] [be_process_init]<br>> (0x0010): fatal error initializing data providers<br>> (Tue Nov 15 20:04:39 2016) [sssd[be[ipa.local]]] [main] (0x0010): Could<br>> not initialize backend [14]<br>> (Tue Nov 15 20:04:39 2016) [sssd[be[ipa.local]]]<br>> [select_principal_from_keytab] (0x0010): Failed to read keytab<br>> [default]: Bad address<br>> (Tue Nov 15 20:04:39 2016) [sssd[be[ipa.local]]] [load_backend_module]<br>> (0x0010): Error (14) in module (ipa) initialization (sssm_ipa_id_init)!<br>><br>> This is also strange but might be side effect I assume.. we mount NFS v4<br>> home dir with automount for central homes and profiles.. on the boxes<br>> having this issue some of the IDs show just the UID numbers/GID numebrs<br>> where some of the IDs actually show the UID name/GID name. We have over<br>> 2k servers showing the UID name/GID name with no issues.. just the boxes<br>> having this issue.<br>><br>><br>><br>> Sean Hogan<br>><br>><br>><br>><br>><br>><br>> Inactive hide details for Jakub Hrozek ---11/16/2016 02:29:52 AM---On<br>> Tue, Nov 15, 2016 at 07:24:38PM -0700, Sean Hogan wrote: Jakub Hrozek<br>> ---11/16/2016 02:29:52 AM---On Tue, Nov 15, 2016 at 07:24:38PM -0700,<br>> Sean Hogan wrote: ><br>><br>> From: Jakub Hrozek <jhrozek@redhat.com><br>> To: freeipa-users@redhat.com<br>> Date: 11/16/2016 02:29 AM<br>> Subject: Re: [Freeipa-users] Rhel 7 client enroll to Rhel 6 IPA server<br>> Sent by: freeipa-users-bounces@redhat.com<br>><br>> ------------------------------------------------------------------------<br>><br>><br>><br>> On Tue, Nov 15, 2016 at 07:24:38PM -0700, Sean Hogan wrote:<br>>><br>>><br>>> Hello,<br>>><br>>><br>>>    I am starting to see some issues with a few RHEL7 boxes I have been<br>>> enrolling to my RHEL 6 IPA server regarding encryption.<br>>><br>>><br>>> RHEL 7 client<br>>> Red Hat Enterprise Linux Server release 7.1 (Maipo)<br>>> sssd-ipa-1.12.2-58.el7_1.18.x86_64<br>>> ipa-client-4.1.0-18.el7_1.4.x86_64<br>>><br>>> RHEL 6 Server<br>>> Red Hat Enterprise Linux Server release 6.8 (Santiago)<br>>> sssd-ipa-1.13.3-22.el6_8.4.x86_64<br>>> ipa-server-3.0.0-50.el6.1.x86_64<br>>><br>>><br>>> The RHEL 7 client shows this in messages<br>>><br>>> Nov 15 21:13:02 server1 [sssd[ldap_child[26640]]]: Program lacks support<br>>> for encryption type<br>><br>> Could you post a more verbose ldap_child log (debug_level=10 includes<br>> KRB5_TRACE-level messages) so that we see what kind of crypto was used?<br>><br>>> Nov 15 18:08:51 server1 [sssd[ldap_child[7774]]]: Failed to initialize<br>>> credentials using keytab [MEMORY:/etc/krb5.keytab]: Decrypt integrity<br>> check<br>>> failed. Unable to create GSSAPI-encrypted LDAP connection.<br>>><br>>> I am also not seeing host certs for them on the ipa server but I do see<br>>> them on the local box.<br>>><br>>> [root@server1 pam.d]# ktutil<br>><br>> Can you run klist -ke as well to see what encryption types are included<br>> in the keytab?<br>><br>> Is it possible to run "kinit -k" on the client?<br>><br>>> ktutil:  rkt /etc/krb5.keytab<br>>> ktutil:  l<br>>> slot KVNO Principal<br>>> ---- ----<br>>> ---------------------------------------------------------------------<br>>>    1    1 host/server1.ipa.local@IPA.LOCAL<br>>>    2    1 host/server1.ipa.local@IPA.LOCAL<br>>>    3    1 host/server1.ipa.local@IPA.LOCAL<br>>>    4    1 host/server1.ipa.local@IPA.LOCAL<br>>> ktutil:<br>>><br>>><br>>> I have one RHEL 7 box with no issues as it was just enrolled (missing host<br>>> certs in IPA though)  and I compared and IPA ID login with a box not<br>>> working<br>>> *NOT Work*<br>>> type=USER_AUTH msg=audit(1479259242.032:23532): pid=25040 uid=0<br>>> auid=4294967295 ses=4294967295<br>> subj=system_u:system_r:sshd_t:s0-s0:c0.c1023<br>>> msg='op=PAM:authentication grantors=? acct="janedoe" exe="/usr/sbin/sshd"<br>>> hostname=10.10.10.10 addr=10.10.10.9 terminal=ssh res=failed'<br>>><br>>> vs<br>>><br>>> Works<br>>> type=USER_ACCT msg=audit(1479259478.378:709): pid=4721 uid=0<br>>> auid=4294967295 ses=4294967295<br>> subj=system_u:system_r:sshd_t:s0-s0:c0.c1023<br>>> msg='op=PAM:accounting grantors=pam_unix,pam_sss,pam_permit acct="janedoe"<br>>> exe="/usr/sbin/sshd" hostname=10.10.10.10 addr=10.10.10.10 terminal=ssh<br>>> res=success'<br>>><br>>> Its almost as if the pam files are not being read?<br>>><br>>><br>>><br>>> Sean Hogan<br>>><br>>><br>>><br>>><br>>><br>>><br>><br>><br>><br>><br>>> --<br>>> Manage your subscription for the Freeipa-users mailing list:<br>>> </tt><tt><a href="https://www.redhat.com/mailman/listinfo/freeipa-users">https://www.redhat.com/mailman/listinfo/freeipa-users</a></tt><tt><br>>> Go to </tt><tt><a href="http://freeipa.org">http://freeipa.org</a></tt><tt> for more info on the project<br>><br>> --<br>> Manage your subscription for the Freeipa-users mailing list:<br>> </tt><tt><a href="https://www.redhat.com/mailman/listinfo/freeipa-users">https://www.redhat.com/mailman/listinfo/freeipa-users</a></tt><tt><br>> Go to </tt><tt><a href="http://freeipa.org">http://freeipa.org</a></tt><tt> for more info on the project<br>><br>><br>><br>><br>><br>><br><br><br>-- <br>Martin^3 Babinsky<br><br></tt><br><br><BR>
</body></html>