<div dir="ltr"><div><div><div><div><div><div>Hi There,<br><br></div>This is driving me up the wall.<br><br></div>I have two servers. 1 is a live openldap/kerberous AAA server running on RHEL6. The LDAP service has SSL/TS support. The second server is a test environment running on fedora and has 3.1 IPA installed.<br>
<br></div>As a last step of my POC I need to migrate the users and passwords from the LDAP server to IPA server.<br><br></div>I ran this command perfectly fine.<br><br><code class="">ipa config-mod --enable-migration=TRUE<br>
<br></code></div><code class="">However the next step was where my issues began.<br></code><br clear="all"></div>In the end after a lot of IRC communication and troubleshooting I now run the following command.<br><br>ipa migrate-ds --bind-dn="cn=admin,dc=example,dc=com" --user-container="ou=users,ou=live,dc=example,dc=com" --group-container="ou=groups,ou=live,dc=example,dc=com" ldaps://<a href="http://ldap1.live.example.com">ldap1.live.example.com</a><br>
<div><div><div><div><div><div><div><div><br></div><div>I get the following error.<br><br>ipa: DEBUG: Caught fault 4203 from server <a href="http://fedoraipaserver.test.example.com/ipa/xml">http://fedoraipaserver.test.example.com/ipa/xml</a>: Can't contact LDAP server: TLS error -8179:Peer's Certificate issuer is not recognized.<br>
ipa: DEBUG: Destroyed connection context.xmlclient<br>ipa: ERROR: Can't contact LDAP server: TLS error -8179:Peer's Certificate issuer is not recognized.<br></div><div><br></div><div>I have summarized that the IPA server does not trust the cert served by the openldap or the other way around. Does anyone know how to get around this? Or allow me to finish the migration of user data.<br>
<br></div><div>Regards<br><br>John<br></div><div><br>-- <br>Johnathan Phan<br><br>T: +44 (0)784 118 7080<br><br><br><br></div></div></div></div></div></div></div></div></div>