<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri","sans-serif";
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri","sans-serif";
mso-fareast-language:EN-US;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-AU" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">Hi,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I found a bug in the pki packages and CA replica installation.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Environment:<o:p></o:p></p>
<p class="MsoNormal">Rhel 6.6<o:p></o:p></p>
<p class="MsoNormal">IPA Server 3.0.0-42<o:p></o:p></p>
<p class="MsoNormal">Pki components:<o:p></o:p></p>
<p class="MsoNormal">pki-symkey-9.0.3-38.el6_6.x86_64<o:p></o:p></p>
<p class="MsoNormal">pki-common-9.0.3-38.el6_6.noarch<o:p></o:p></p>
<p class="MsoNormal">pki-setup-9.0.3-38.el6_6.noarch<o:p></o:p></p>
<p class="MsoNormal">pki-selinux-9.0.3-38.el6_6.noarch<o:p></o:p></p>
<p class="MsoNormal">pki-java-tools-9.0.3-38.el6_6.noarch<o:p></o:p></p>
<p class="MsoNormal">pki-ca-9.0.3-38.el6_6.noarch<o:p></o:p></p>
<p class="MsoNormal">ipa-pki-common-theme-9.0.3-7.el6.noarch<o:p></o:p></p>
<p class="MsoNormal">ipa-pki-ca-theme-9.0.3-7.el6.noarch<o:p></o:p></p>
<p class="MsoNormal">pki-native-tools-9.0.3-38.el6_6.x86_64<o:p></o:p></p>
<p class="MsoNormal">pki-util-9.0.3-38.el6_6.noarch<o:p></o:p></p>
<p class="MsoNormal">pki-silent-9.0.3-38.el6_6.noarch<o:p></o:p></p>
<p class="MsoNormal">Selinux:<o:p></o:p></p>
<p class="MsoNormal">Permissive<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">when running a CA replica installation it fails because pki-cad cannot start due to selinux context issues.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Samples from the ipareplica-ca-install.log…<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">=========<o:p></o:p></p>
<p class="MsoNormal">2015-02-05T08:20:04Z DEBUG stderr=[error] FAILED run_comman[ OK ]/service pki-cad restart pki-ca"), exit status=1 output="Stopping pki-ca:<o:p></o:p></p>
<p class="MsoNormal">/usr/bin/runcon: invalid context: unconfined_u:system_r:pki_ca_script_t:s0: Invalid argument"<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">2015-02-05T08:20:04Z DEBUG duration: 6 seconds<o:p></o:p></p>
<p class="MsoNormal">2015-02-05T08:20:04Z DEBUG [3/16]: configuring certificate server instance<o:p></o:p></p>
<p class="MsoNormal">#############################################<o:p></o:p></p>
<p class="MsoNormal">Attempting to connect to: sb1sys02.mydomain.com:9445<o:p></o:p></p>
<p class="MsoNormal">Exception in LoginPanel(): java.lang.NullPointerException<o:p></o:p></p>
<p class="MsoNormal">ERROR: ConfigureCA: LoginPanel() failure<o:p></o:p></p>
<p class="MsoNormal">ERROR: unable to create CA<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#######################################################################<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">2015-02-05T08:20:04Z DEBUG stderr=Exception: Unable to Send Request:java.net.ConnectException: Connection refused<o:p></o:p></p>
<p class="MsoNormal">java.net.ConnectException: Connection refused<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">==========<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">In short pki-cad fails to start and stops the installer.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Reinstalling the pki-selinux rpm (found references in some other forum posts) via yum reinstall pki-selinux is not enough to help.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">The solution is as follows:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">yum downgrade pki-selinux pki-ca pki-common pki-setup pki-silent pki-java-tools pki-symkey pki-util pki-native-tools<o:p></o:p></p>
<p class="MsoNormal">which takes components back to 9.0.3-32<o:p></o:p></p>
<p class="MsoNormal">then<o:p></o:p></p>
<p class="MsoNormal">yum -y update pki-selinux pki-ca pki-common pki-setup pki-silent pki-java-tools pki-symkey pki-util pki-native-tools<o:p></o:p></p>
<p class="MsoNormal">then (after cleaning up half installed pki components)<o:p></o:p></p>
<p class="MsoNormal">ipa-ca-install /var/lib/ipa/replica-info-sb1sys02.mydomain.gpg<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Then, the CA replication completes successfully.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Regards,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Les<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>