После переустановки сервера и клиента (-ов) FreeIPA один из клиентов отказывается проходить аутентификацию.
$ ipa user-find правильно перечислить пользователей
Я могу успешно кинить пользователя.
ipa-сервер krb5krc.log
krb5kdc[4425](info): AS_REQ (8 etypes {aes256-cts-hmac-sha1-96(18), aes128-cts-hmac-sha1-96(17), aes256-cts-hmac-sha384-192(20), aes128-cts-hmac-sha256-128(19), DEPRECATED:des3-cbc-sha1(16), DEPRECATED:arcfour-hmac(23), camellia128-cts-cmac(25), camellia256-cts-cmac(26)}) 10.0.1.8: NEEDED_PREAUTH: myuser@MYDOMAIN.COM for krbtgt/MYDOMAIN.COM@MYDOMAIN.COM, Additional pre-authentication required
krb5kdc[4425](info): closing down fd 11
krb5kdc[4427](info): AS_REQ (8 etypes {aes256-cts-hmac-sha1-96(18), aes128-cts-hmac-sha1-96(17), aes256-cts-hmac-sha384-192(20), aes128-cts-hmac-sha256-128(19), DEPRECATED:des3-cbc-sha1(16), DEPRECATED:arcfour-hmac(23), camellia128-cts-cmac(25), camellia256-cts-cmac(26)}) 10.0.1.8: FIND_FAST: <unknown client> for <unknown server>, Cannot decrypt ticket for krbtgt/MYDOMAIN.COM@MYDOMAIN.COM using keytab key for krbtgt/MYDOMAIN.COM@MYDOMAIN.COM while handling ap-request armor
Оказывается, очистка кеша sssd решает проблему:
$ systemctl stop sssd
$ rm -f /var/lib/sss/db/*
$ systemctl start sssd