<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal>Hi,<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I am trying to install client on one of the machine I’m getting following error:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>--------------------------------<br>Cannot obtain CA certificate<o:p></o:p></p><p class=MsoNormal>'ldap://ipa1.example.com' doesn't have a certificate.<o:p></o:p></p><p class=MsoNormal>Installation failed. Rolling back changes.<o:p></o:p></p><p class=MsoNormal>IPA client is not configured on this system.<br>--------------------------------<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I am able to install same on other clients.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Output of running in debug<o:p></o:p></p><p class=MsoNormal>-------------------------------------<br>/usr/sbin/ipa-client-install was invoked with options: {'domain': 'EXAMPLE.COM', 'force': False, 'krb5_offline_passwords': True, 'primary': True, 'mkhomedir': False, 'create_sshfp': True, 'conf_sshd': True, 'on_master': False, 'conf_ntp': True, 'ca_cert_file': None, 'ntp_server': None, 'principal': None, 'hostname': None, 'no_ac': False, 'unattended': None, 'sssd': True, 'trust_sshfp': False, 'dns_updates': False, 'realm_name': None, 'conf_ssh': True, 'server': ['ipa1.example.com', 'ipa2.example.com'], 'prompt_password': False, 'permit': False, 'debug': True, 'preserve_sssd': False, 'uninstall': False}<o:p></o:p></p><p class=MsoNormal>missing options might be asked for interactively later<o:p></o:p></p><p class=MsoNormal>Loading Index file from '/var/lib/ipa-client/sysrestore/sysrestore.index'<o:p></o:p></p><p class=MsoNormal>Loading StateFile from '/var/lib/ipa-client/sysrestore/sysrestore.state'<o:p></o:p></p><p class=MsoNormal>[IPA Discovery]<o:p></o:p></p><p class=MsoNormal>Starting IPA discovery with domain=EXAMPLE.COM, server=['ipa1.example.com', 'ipa2.example.com'], hostname=perf-fe1.example.com<o:p></o:p></p><p class=MsoNormal>Server and domain forced<o:p></o:p></p><p class=MsoNormal>[Kerberos realm search]<o:p></o:p></p><p class=MsoNormal>Search DNS for TXT record of _kerberos.EXAMPLE.COM.<o:p></o:p></p><p class=MsoNormal>No DNS record found<o:p></o:p></p><p class=MsoNormal>[LDAP server check]<o:p></o:p></p><p class=MsoNormal>Verifying that ipa1.example.com (realm None) is an IPA server<o:p></o:p></p><p class=MsoNormal>Init LDAP connection with: ldap://ipa1.example.com:389<o:p></o:p></p><p class=MsoNormal>Search LDAP server for IPA base DN<o:p></o:p></p><p class=MsoNormal>Check if naming context 'dc=example,dc=com' is for IPA<o:p></o:p></p><p class=MsoNormal>Naming context 'dc=example,dc=com' is a valid IPA context<o:p></o:p></p><p class=MsoNormal>Search for (objectClass=krbRealmContainer) in dc=example,dc=com (sub)<o:p></o:p></p><p class=MsoNormal>Found: cn=EXAMPLE.COM,cn=kerberos,dc=example,dc=com<o:p></o:p></p><p class=MsoNormal>Discovery result: Success; server=ipa1.example.com, domain=EXAMPLE.COM, ipa=None, basedn=dc=example,dc=com<o:p></o:p></p><p class=MsoNormal>will use discovered domain: EXAMPLE.COM<o:p></o:p></p><p class=MsoNormal>Using servers from command line, disabling DNS discovery<o:p></o:p></p><p class=MsoNormal>will use provided server: ipa1.example.com, ipa2.example.com<o:p></o:p></p><p class=MsoNormal>Autodiscovery of servers for failover cannot work with this configuration.<o:p></o:p></p><p class=MsoNormal>If you proceed with the installation, services will be configured to always access the discovered server for all operations and will not fail over to other servers in case of failure.<o:p></o:p></p><p class=MsoNormal>Proceed with fixed values and no DNS discovery? [no]: yes<o:p></o:p></p><p class=MsoNormal>will use discovered realm: EXAMPLE.COM<o:p></o:p></p><p class=MsoNormal>will use discovered basedn: dc=example,dc=com<o:p></o:p></p><p class=MsoNormal>[IPA Discovery]<o:p></o:p></p><p class=MsoNormal>Starting IPA discovery with domain=EXAMPLE.COM, server=ipa2.example.com, hostname=perf-fe1.example.com<o:p></o:p></p><p class=MsoNormal>Server and domain forced<o:p></o:p></p><p class=MsoNormal>[Kerberos realm search]<o:p></o:p></p><p class=MsoNormal>Search DNS for TXT record of _kerberos.EXAMPLE.COM.<o:p></o:p></p><p class=MsoNormal>No DNS record found<o:p></o:p></p><p class=MsoNormal>[LDAP server check]<o:p></o:p></p><p class=MsoNormal>Verifying that ipa2.example.com (realm None) is an IPA server<o:p></o:p></p><p class=MsoNormal>Init LDAP connection with: ldap://ipa2.example.com:389<o:p></o:p></p><p class=MsoNormal>Search LDAP server for IPA base DN<o:p></o:p></p><p class=MsoNormal>Check if naming context 'dc=example,dc=com' is for IPA<o:p></o:p></p><p class=MsoNormal>Naming context 'dc=example,dc=com' is a valid IPA context<o:p></o:p></p><p class=MsoNormal>Search for (objectClass=krbRealmContainer) in dc=example,dc=com (sub)<o:p></o:p></p><p class=MsoNormal>Found: cn=EXAMPLE.COM,cn=kerberos,dc=example,dc=com<o:p></o:p></p><p class=MsoNormal>Discovery result: Success; server=ipa2.example.com, domain=EXAMPLE.COM, ipa=None, basedn=dc=example,dc=com<o:p></o:p></p><p class=MsoNormal>Hostname: perf-fe1.example.com<o:p></o:p></p><p class=MsoNormal>Hostname source: Machine's FQDN<o:p></o:p></p><p class=MsoNormal>Realm: EXAMPLE.COM<o:p></o:p></p><p class=MsoNormal>Realm source: Discovered from LDAP DNS records in ipa1.example.com<o:p></o:p></p><p class=MsoNormal>DNS Domain: EXAMPLE.COM<o:p></o:p></p><p class=MsoNormal>DNS Domain source: Forced<o:p></o:p></p><p class=MsoNormal>IPA Server: ipa1.example.com, ipa2.example.com<o:p></o:p></p><p class=MsoNormal>IPA Server source: Provided as option<o:p></o:p></p><p class=MsoNormal>BaseDN: dc=example,dc=com<o:p></o:p></p><p class=MsoNormal>BaseDN source: >From IPA server ldap://ipa1.example.com:389<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Continue to configure the system with these values? [no]: yes<o:p></o:p></p><p class=MsoNormal>args=/usr/sbin/ipa-rmkeytab -k /etc/krb5.keytab -r EXAMPLE.COM<o:p></o:p></p><p class=MsoNormal>stdout=<o:p></o:p></p><p class=MsoNormal>stderr=Failed to open keytab '/etc/krb5.keytab': No such file or directory<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>User authorized to enroll computers: admin<o:p></o:p></p><p class=MsoNormal>Synchronizing time with KDC...<o:p></o:p></p><p class=MsoNormal>Search DNS for SRV record of _ntp._udp.EXAMPLE.COM.<o:p></o:p></p><p class=MsoNormal>No DNS record found<o:p></o:p></p><p class=MsoNormal>args=/usr/sbin/ntpdate -U ntp -s -b -v ipa1.example.com<o:p></o:p></p><p class=MsoNormal>stdout=<o:p></o:p></p><p class=MsoNormal>stderr=<o:p></o:p></p><p class=MsoNormal>args=/usr/sbin/ntpdate -U ntp -s -b -v ipa1.example.com<o:p></o:p></p><p class=MsoNormal>stdout=<o:p></o:p></p><p class=MsoNormal>stderr=<o:p></o:p></p><p class=MsoNormal>args=/usr/sbin/ntpdate -U ntp -s -b -v ipa1.example.com<o:p></o:p></p><p class=MsoNormal>stdout=<o:p></o:p></p><p class=MsoNormal>stderr=<o:p></o:p></p><p class=MsoNormal>Unable to sync time with IPA NTP server, assuming the time is in sync. Please check that 123 UDP port is opened.<o:p></o:p></p><p class=MsoNormal>Writing Kerberos configuration to /tmp/tmpune77A:<o:p></o:p></p><p class=MsoNormal>#File modified by ipa-client-install<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>includedir /var/lib/sss/pubconf/krb5.include.d/<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>[libdefaults]<o:p></o:p></p><p class=MsoNormal>  default_realm = EXAMPLE.COM<o:p></o:p></p><p class=MsoNormal>  dns_lookup_realm = false<o:p></o:p></p><p class=MsoNormal>  dns_lookup_ipa = false<o:p></o:p></p><p class=MsoNormal>  rdns = false<o:p></o:p></p><p class=MsoNormal>  ticket_lifetime = 24h<o:p></o:p></p><p class=MsoNormal>  forwardable = yes<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>[realms]<o:p></o:p></p><p class=MsoNormal>  EXAMPLE.COM = {<o:p></o:p></p><p class=MsoNormal>    ipa = ipa1.example.com:88<o:p></o:p></p><p class=MsoNormal>    master_ipa = ipa1.example.com:88<o:p></o:p></p><p class=MsoNormal>    admin_server = ipa1.example.com:749<o:p></o:p></p><p class=MsoNormal>    ipa = ipa2.example.com:88<o:p></o:p></p><p class=MsoNormal>    master_ipa = ipa2.example.com:88<o:p></o:p></p><p class=MsoNormal>    admin_server = ipa2.example.com:749<o:p></o:p></p><p class=MsoNormal>    default_domain = EXAMPLE.COM<o:p></o:p></p><p class=MsoNormal>    pkinit_anchors = FILE:/etc/ipa/ca.crt<o:p></o:p></p><p class=MsoNormal>  }<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>[domain_realm]<o:p></o:p></p><p class=MsoNormal>  .EXAMPLE.COM = EXAMPLE.COM<o:p></o:p></p><p class=MsoNormal>  EXAMPLE.COM = EXAMPLE.COM<o:p></o:p></p><p class=MsoNormal>  .example.com = EXAMPLE.COM<o:p></o:p></p><p class=MsoNormal>  example.com = EXAMPLE.COM<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Password for admin@EXAMPLE.COM:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>args=kinit admin@EXAMPLE.COM<o:p></o:p></p><p class=MsoNormal>stdout=Password for admin@EXAMPLE.COM:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>stderr=<o:p></o:p></p><p class=MsoNormal>trying to retrieve CA cert via LDAP from ldap://ipa1.example.com<o:p></o:p></p><p class=MsoNormal>get_ca_cert_from_ldap() error: Unknown authentication method SASL(-4): no mechanism available: No worthy mechs found<o:p></o:p></p><p class=MsoNormal>{'info': 'SASL(-4): no mechanism available: No worthy mechs found', 'desc': 'Unknown authentication method'}<o:p></o:p></p><p class=MsoNormal>Cannot obtain CA certificate<o:p></o:p></p><p class=MsoNormal>'ldap://ipa1.example.com' doesn't have a certificate.<o:p></o:p></p><p class=MsoNormal>Installation failed. Rolling back changes.<o:p></o:p></p><p class=MsoNormal>IPA client is not configured on this system.<o:p></o:p></p><p class=MsoNormal>-------------------------------------<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Seeing above it seems that LDAP is not running on SSL I have verified it following command ‘ldapsearch -Y GSSAPI -b "dc=example,dc=com" uid=admin’ and it does return the results.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Any help/info will be really helpful.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span lang=EN-GB style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Regards,<o:p></o:p></span></p><p class=MsoNormal><b><span lang=EN-GB style='font-size:10.0pt;font-family:"Arial","sans-serif";color:purple'><o:p> </o:p></span></b></p><p class=MsoNormal><b><span lang=EN-GB style='font-size:10.0pt;font-family:"Arial","sans-serif";color:purple'>Mohan</span></b><span lang=EN-GB style='font-size:12.0pt;font-family:"Times New Roman","serif"'><o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p></div></body></html>