<html><body><p>Hi Jakub,<br><br>  I ended up re-enrolling the box and it is behaving as expected except I am not getting a host cert.  Robert indicated auto host cert no longer avail with rhel 7 but using the --request -cert option on enroll to get a host cert if I wanted one.   I did so and get this in the install log<br><br><br><b>2016-11-16T22:00:53Z DEBUG Starting external process</b><br><b>2016-11-16T22:00:53Z DEBUG args='/bin/systemctl' 'is-active' 'certmonger.service'</b><br><b>2016-11-16T22:00:53Z DEBUG Process finished, return code=0</b><br><b>2016-11-16T22:00:53Z DEBUG stdout=active</b><br><br><b>2016-11-16T22:00:53Z DEBUG stderr=</b><br><b>2016-11-16T22:00:53Z ERROR certmonger request for host certificate failed</b><br><br><br>Maybe this is an issue with RHEL 7(4.x) client hitting a RHEL 6 (3.x) IPA server?<br><br>As for crypto on RHEL 6 IPA I have (if this is what you looking for).  However this is modified version as it took me a while to get this list to pass tenable scans by modding the dse files.<br>[root@ipa1 ~]#  nmap --script ssl-enum-ciphers -p 636 `hostname`<br><br>Starting Nmap 5.51 ( <a href="http://nmap.org/">http://nmap.org</a> ) at 2016-11-16 17:25 EST<br>Nmap scan report for ipa1.ipa.local <br>Host is up (0.000087s latency).<br>PORT    STATE SERVICE<br>636/tcp open  ldapssl<br>| ssl-enum-ciphers: <br>|   TLSv1.2<br>|     Ciphers (14)<br>|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA<br>|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA<br>|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256<br>|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256<br>|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA<br>|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256<br>|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA<br>|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256<br>|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA<br>|       TLS_RSA_WITH_AES_128_CBC_SHA<br>|       TLS_RSA_WITH_AES_128_CBC_SHA256<br>|       TLS_RSA_WITH_AES_128_GCM_SHA256<br>|       TLS_RSA_WITH_AES_256_CBC_SHA<br>|       TLS_RSA_WITH_AES_256_CBC_SHA256<br>|     Compressors (1)<br>|_      uncompressed<br>   <br><br><br><br><br>Sean Hogan<br><br><br><br><br><br><img width="16" height="16" src="cid:1__=88BB0AFEDFEA18338f9e8a93df938690918c88B@" border="0" alt="Inactive hide details for Jakub Hrozek ---11/16/2016 02:38:03 PM---On Wed, Nov 16, 2016 at 09:56:59AM -0700, Sean Hogan wrote: "><font color="#424282">Jakub Hrozek ---11/16/2016 02:38:03 PM---On Wed, Nov 16, 2016 at 09:56:59AM -0700, Sean Hogan wrote: > [root@server1 read]# kinit -kt /etc/kr</font><br><br><font size="2" color="#5F5F5F">From:        </font><font size="2">Jakub Hrozek <jhrozek@redhat.com></font><br><font size="2" color="#5F5F5F">To:        </font><font size="2">Sean Hogan/Durham/IBM@IBMUS</font><br><font size="2" color="#5F5F5F">Cc:        </font><font size="2">Martin Babinsky <mbabinsk@redhat.com>, freeipa-users@redhat.com</font><br><font size="2" color="#5F5F5F">Date:        </font><font size="2">11/16/2016 02:38 PM</font><br><font size="2" color="#5F5F5F">Subject:        </font><font size="2">Re: [Freeipa-users] Rhel 7 client enroll to Rhel 6 IPA server</font><br><hr width="100%" size="2" align="left" noshade style="color:#8091A5; "><br><br><br><tt>On Wed, Nov 16, 2016 at 09:56:59AM -0700, Sean Hogan wrote:<br>> [root@server1 read]# kinit -kt /etc/krb5.keytab host/server1.ipa.local<br>> kinit: Program lacks support for encryption type while getting initial<br>> credentials<br><br>OK, now there's at least the same error from kinit as sssd is<br>generating. Can you runs this command prepended with<br>KRB5_TRACE=/dev/stderr and perhaps also check the KDC logs for the same<br>time?<br><br>But frankly I don't know offhand what enctypes are supported by the<br>RHEL-6 server's KDC..<br><br></tt><br><br><BR>
</body></html>