<div dir="ltr"><div><div><div>Hi<br><br></div>Many thanks for the feedback and bringing those tickets to my attention.<br><br></div>I tried the 'ipa-getcert resubmit' before posting this, but it did not help. The status remained NEED_CSR.<br>
</div><div>I'll try a few other things which come to mind.<br><br></div><div>Regards<br><br>John<br></div><div><div><div><div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, May 7, 2013 at 10:50 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">John Blaut wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi<br>
<br>
Since EL 6.4, executing ipa-client-install over SSH i.e. 'ssh <client><br>
"ipa-client-install <params>"', results in an issue with the host<br>
certificate.<br>
<br>
The output returns the following error during the: 'ipa-getcert request<br>
-d /etc/pki/nssdb' stage:<br>
<br>
TLS: could not close certdb slot - error -8018:Unknown PKCS #11 error.<br>
TLS: could not shutdown NSS - error -8053:NSS could not shutdown<br>
<br>
The host certificate remains in state: 'status: NEED_CSR' when checking<br>
with ipa-getcert list<br>
</blockquote>
<br></div>
I'm not able to reproduce this.<br>
<br>
You might try:<br>
<br>
ipa-getcert resubmit -i <requestid> post-install to see if it goes out of NEED_CSR.<div><div class="h5"><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
In EL6.2 and EL6.3 this was not an issue.<br>
Perhaps you may reproduce this and advise.<br>
In order to work around this, I end up having to run ipa-client-install<br>
locally on the client.<br>
<br>
Also, with 6.4, thanks to the --fixed-primary switch we can now<br>
statically set specific IPA servers to use for a given client, instead<br>
of rely on DNS (SRV records) discovery. Before this feature we would<br>
need to patch the sssd.conf manually and restart SSSD, as<br>
ipa-client-install would remain stuck since the given client via SRV<br>
discovery would attempt using an IPA server it does not have access to.<br>
Now we longer have this issue, however ipa-client-install still picks<br>
the NTP server with which it should synchronize time during the<br>
enrolment process via DNS discovery. In the past ipa-client-install<br>
would 'give up' after 3 attempts or so, but now it keeps attempting<br>
until it encounters a reachable IPA NTP server. In an environment where<br>
there is a significant amount of IPA servers installed and distributed<br>
in different places where access is restricted by location, it can take<br>
some time until the reachable IPA/NTP server for a given client/location<br>
is found.<br>
<br>
A suggestion would be that if one goes for the --fixed-primary +<br>
--server options, then the omission of DNS discovery should not only<br>
apply to the IPA service but also for time synchronization. In most<br>
cases chances are that if one opts to use specific servers for IPA, one<br>
probably also wants to use specific servers for NTP. Or for added<br>
flexibility, provide another switch to select a specifc server to<br>
synchronize time with during the enrolment process. FYI, use of the<br>
--ntp-server switch does not prevent the enrolment process from using<br>
DNS discovery to synchronize the time. I suppose that switch is only<br>
used for setting the NTP server to use if one wishes to configure NTPD.<br>
(Besides not everyone opts to use NTPD on clients - some use an ntpdate<br>
job - so fixed-server time synchronization during enrolment should also<br>
be possible when using -N/--no-ntp)<br>
</blockquote>
<br></div></div>
We have a number of tickets against NTP. There is some amount of overlap, but it doesn't seem to cove everything.<br>
<br>
Specifically tickets <a href="https://fedorahosted.org/freeipa/ticket/3092" target="_blank">https://fedorahosted.org/<u></u>freeipa/ticket/3092</a>, <a href="https://fedorahosted.org/freeipa/ticket/2992" target="_blank">https://fedorahosted.org/<u></u>freeipa/ticket/2992</a> and <a href="https://fedorahosted.org/freeipa/ticket/1954" target="_blank">https://fedorahosted.org/<u></u>freeipa/ticket/1954</a><br>

<br>
If we've missed anything any chance you can open a ticket (or tickets) for the new features?<div class="im"><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
One last thing is that when using the --server option multiple times, it<br>
seems the order in sssd.conf is reversed. Example if I specify --server<br>
node1 --server node2, in sssd.conf I will end up with: ipa_server =<br>
node2, node1 Therefore I specify the servers to begin with in reverse<br>
order, in order to have them configured in the desired order.<br>
</blockquote>
<br></div>
Fixed upstream <a href="https://fedorahosted.org/freeipa/ticket/3418" target="_blank">https://fedorahosted.org/<u></u>freeipa/ticket/3418</a><br>
<br>
regards<span class="HOEnZb"><font color="#888888"><br>
<br>
rob<br>
</font></span></blockquote></div><br></div></div></div></div></div></div>