<div dir="ltr">-Y GSSAPI fixed the ldap query. Thanks.<div><br></div><div>I figured out the problem with the ipa-getkeytab. In short, it was PEBKAC. Thanks for the help.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 20, 2014 at 4:07 AM, Sumit Bose <span dir="ltr"><<a href="mailto:sbose@redhat.com" target="_blank">sbose@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, Nov 19, 2014 at 09:55:51PM -0500, Richard Betel wrote:<br>
> I suddenly started getting errors when I try to use ipa-getkeytab:<br>
><br>
> [root@ipa1 kerberize]# ipa-getkeytab -s jn01 -p hdfs/jn01 -k<br>
> jn01.hdfs.keytab<br>
> SASL Bind failed Can't contact LDAP server (-1) !<br>
<br>
</span>Please try to use the fully qualified name of the server.<br>
<span class=""><br>
><br>
> ldap seems to be answering on the non-SASL port (ei: ldapsearch -x -h<br>
> localhost CN=richard works fine) but if I don't use the -x, I get:<br>
> ldapsearch  -h localhost CN=richard<br>
> SASL/EXTERNAL authentication started<br>
> ldap_sasl_interactive_bind_s: Unknown authentication method (-6)<br>
> additional info: SASL(-4): no mechanism available:<br>
<br>
</span>As Alexander educated me, this is expected because SASL/EXTERNAL is only<br>
used for the ldapi connection scheme. Please try to use the fully<br>
qualified server name and '-Y GSSAPI' with ldapsearch.<br>
<br>
HTH<br>
<br>
bye,<br>
Sumit<br>
<div class="HOEnZb"><div class="h5"><br>
><br>
><br>
> I'm kinda at a loss for how to debug this. I'm not really finding any<br>
> errors in the dirsrv logs, just a warning that my DB is bigger than the<br>
> cache. I'd appreciate some ideas on where to look.<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">> --<br>
> Manage your subscription for the Freeipa-users mailing list:<br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
<br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><a href="http://www2.charitydynamics.com/site/PageServer?pagename=Boundless_Email_Client" style="color:rgb(51,51,51);font-family:arial,helvetica,clean,sans-serif;font-size:12px;line-height:16.6725006103516px" target="_blank"><img src="http://badge.boundlessfundraising.com/image/display/cfrideca/1523/2871451/nt" alt="" style="border:0pt none"></a><br></div></div></div>
</div>