<div dir="ltr">First I'll undo the oVirt/FreeIPA relationship:<br><div><br></div><div>  # engine-manage-domains -action=delete -domain=<a href="http://hackunix.org">hackunix.org</a></div><div>  ...</div><div>  Manage Domains completed successfully<br>
<br></div><div>  # service ovirt-engine restart<br><br>oVirt works with internal domain and admin user.</div><div><br></div><div style>Now let's uninstall FreeIPA:<br><br></div><div style><div>  # pkidestroy -s CA -i pki-tomcat</div>
<div>  Loading deployment configuration from /var/lib/pki/pki-tomcat/ca/registry/ca/deployment.cfg.</div><div>  Uninstalling CA from /var/lib/pki/pki-tomcat.</div><div>  pkidestroy  : WARNING  ....... this 'CA' entry may not be registered with security domain 'IPA'!</div>
<div>  pkidestroy  : ERROR    ....... updateDomainXML FAILED to delete this 'CA' entry from security domain 'IPA': ''</div><div><br></div><div>  Uninstallation complete.</div><div>  # rm -rf /var/log/pki/pki-tomcat</div>
<div>  # rm -rf /etc/sysconfig/pki-tomcat</div><div>  # rm -rf /etc/sysconfig/pki/tomcat/pki-tomcat</div><div>  # rm -rf /var/lib/pki/pki-tomcat</div><div>  # rm -rf /etc/pki/pki-tomcat</div><div>  # ipa-server-install --uninstall</div>
</div><div style><div><br></div><div>  This is a NON REVERSIBLE operation and will delete all data and configuration!</div><div><br></div><div>  Are you sure you want to continue with the uninstall procedure? [no]: yes</div>
<div>  Shutting down all IPA services</div><div>  Removing IPA client configuration</div><div>  Unconfiguring ntpd</div><div>  Unconfiguring CA</div><div>  ipa         : CRITICAL failed to uninstall CA instance Command '/usr/sbin/pkidestroy -i pki-tomcat -s CA' returned non-zero exit status 255</div>
<div>  Unconfiguring named</div><div>  Unconfiguring web server</div><div>  Unconfiguring krb5kdc</div><div>  Unconfiguring kadmin</div><div>  Unconfiguring directory server</div><div>  Unconfiguring ipa_memcached</div><div>
<br></div></div><div style><div>  # ipa-server-install</div><div><br></div><div style>I choose BIND integration, set my hostname, and now I get a new error:<br><div><br></div><div>  Server host name [localhost.localdomain]: <a href="http://ds1.hackunix.org">ds1.hackunix.org</a></div>
<div><br></div><div>  [Errno 1] Unknown host</div><div><br></div><div style>So now I'm thinking that besides mucking with minssf I also turned on DNS for my domain, but everything in DNS should match what I started out with in /etc/hosts... Let me read what the install script is expecting here... brb</div>
</div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, May 7, 2013 at 10:04 PM, Derek Moore <span dir="ltr"><<a href="mailto:derek.p.moore@gmail.com" target="_blank">derek.p.moore@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im"><br>
> Did you restart all IPA services including KDC after you changed the minssf?<br>
<br>
</div>Yes, tried many combinations of restarts and reboots trying to undo the breakage.<br>
<br>
I found a similar thread on here ("sudden ipa errors") where someone spent a lot of time debugging when suddenly RH support came back with an odd fix to krb5kdc.conf that doesn't apply to me since I'm not using a subdomain for the realm.<br>

<br>
Let me start over documenting the ipa steps better, I had to patch a few things along the way to get it to work (like the .pki to .dogtag problem on install).<br>
<br>
I'll report back...</blockquote></div><br></div>