<div dir="ltr"><div><font face="arial, helvetica, sans-serif">Dmitri, Rob, Jakub,</font></div><div><font face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">I found at least one of the major problems: chronyd.</font></div><div><font face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">This is what I get when I use ipa-client-install on a plain FC21 machine, <i>without</i> using --force-ntpd</font></div><div><font face="monospace, monospace"><br></font></div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><font face="monospace, monospace">WARNING: ntpd time&date synchronization service will not be configured as</font></div><div><font face="monospace, monospace">conflicting service (chronyd) is enabled</font></div><div><font face="monospace, monospace">Use --force-ntpd option to disable it and force configuration of ntpd</font></div></blockquote><div><br></div><div>Good, then I abort and run it again with <span style="font-family:arial,helvetica,sans-serif"> </span><span style="font-family:arial,helvetica,sans-serif">--force-ntpd:</span></div><div><br></div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><font face="monospace, monospace">Synchronizing time with KDC...</font></div></div><div><div><font face="monospace, monospace">Unable to sync time with IPA NTP server, assuming the time is in sync. Please check that 123 UDP port is opened.</font></div></div></blockquote><div><br></div><div>Perhaps I misinterpreted the meaning of --force-ntpd. I had assumed it would take care of stopping and disabling chronyd. But it doesn't. That's why I get the error above.</div><div><br></div><div>If I first stop chronyd manually and run the installation again, then it does synchronise with NTP.</div><div>This was apparently the cause of "id admin" not working (kerberos failing without proper NTP sync?)</div><div>Now the basic functionalities are all OK.</div><div>Also, chronyd is disabled and ntpd is enabled after installation - good.</div><div><br></div><div>My nsswitch.conf now looks like this:</div><div><br></div><div><div><font face="monospace, monospace">passwd:     files sss</font></div><div><font face="monospace, monospace">shadow:     files sss</font></div><div><font face="monospace, monospace">group:      files sss</font></div><div><font face="monospace, monospace">hosts:      files mdns4_minimal [NOTFOUND=return] dns myhostname<br></font></div><div><font face="monospace, monospace">bootparams: nisplus [NOTFOUND=return] files<br></font></div><div><font face="monospace, monospace">ethers:     files<br></font></div><div><font face="monospace, monospace">netmasks:   files</font></div><div><font face="monospace, monospace">networks:   files</font></div><div><font face="monospace, monospace">protocols:  files</font></div><div><font face="monospace, monospace">rpc:        files</font></div><div><font face="monospace, monospace">services:   files sss</font></div><div><font face="monospace, monospace">netgroup:   files sss<br></font></div><div><font face="monospace, monospace">publickey:  nisplus<br></font></div><div><font face="monospace, monospace">automount:  files sss<br></font></div><div><font face="monospace, monospace">aliases:    files nisplus</font></div><div><font face="monospace, monospace">sudoers: files sss</font></div></div><div><br></div><div><br></div><div><br></div><div>I am left with 2 issues:</div><div><br></div><div>1) Is the above expected? Do I have to stop chronyd manually? Or is it a bug?</div><div>2) DNS update still does not work</div><div><br></div><div><br></div><div>The latest installation log:</div><div><br></div><div><br></div><div><div><font face="monospace, monospace">$ systemctl stop chronyd</font></div><div><span style="font-family:monospace,monospace">$ ipa-client-install --mkhomedir --ssh-trust-dns --force-ntpd </span><br></div><div><font face="monospace, monospace">Discovery was successful!</font></div><div><font face="monospace, monospace">Hostname: <a href="http://meson.hq.example.com">meson.hq.example.com</a></font></div><div><font face="monospace, monospace">Realm: <a href="http://HQ.EXAMPLE.COM">HQ.EXAMPLE.COM</a></font></div><div><font face="monospace, monospace">DNS Domain: hq.</font><span style="font-family:monospace,monospace">example</span><font face="monospace, monospace">.com</font></div><div><font face="monospace, monospace">IPA Server: ipa.hq.</font><span style="font-family:monospace,monospace">example</span><font face="monospace, monospace">.com</font></div><div><font face="monospace, monospace">BaseDN: dc=hq,dc=</font><span style="font-family:monospace,monospace">example</span><font face="monospace, monospace">,dc=com</font></div><div><font face="monospace, monospace"><br></font></div><div><font face="monospace, monospace">Continue to configure the system with these values? [no]: yes</font></div><div><font face="monospace, monospace">Synchronizing time with KDC...</font></div><div><span style="font-family:monospace,monospace">User authorized to enroll computers: User authorized to enroll computers: admin</span><br></div><div><font face="monospace, monospace">Password for <a href="mailto:admin@HQ.EXAMPLE.COM">admin@HQ.EXAMPLE.COM</a>: </font></div><div><font face="monospace, monospace">Successfully retrieved CA cert</font></div><div><font face="monospace, monospace">    Subject:     CN=Certificate Authority,O=HQ.</font><span style="font-family:monospace,monospace">EXAMPLE</span><font face="monospace, monospace">.COM</font></div><div><font face="monospace, monospace">    Issuer:      CN=Certificate Authority,O=HQ.</font><span style="font-family:monospace,monospace">EXAMPLE</span><font face="monospace, monospace">.COM</font></div><div><font face="monospace, monospace">    Valid From:  Mon Mar 16 18:44:35 2015 UTC</font></div><div><font face="monospace, monospace">    Valid Until: Fri Mar 16 18:44:35 2035 UTC</font></div><div><font face="monospace, monospace"><br></font></div><div><font face="monospace, monospace">Enrolled in IPA realm HQ.</font><span style="font-family:monospace,monospace">EXAMPLE</span><font face="monospace, monospace">.COM</font></div><div><font face="monospace, monospace">Created /etc/ipa/default.conf</font></div><div><font face="monospace, monospace">New SSSD config will be created</font></div><div><font face="monospace, monospace">Configured sudoers in /etc/nsswitch.conf</font></div><div><font face="monospace, monospace">Configured /etc/sssd/sssd.conf</font></div><div><font face="monospace, monospace">Configured /etc/krb5.conf for IPA realm HQ.</font><span style="font-family:monospace,monospace">EXAMPLE</span><font face="monospace, monospace">.COM</font></div><div><font face="monospace, monospace">trying <a href="https://ipa.hq.example.com/ipa/json">https://ipa.hq.example.com/ipa/json</a></font></div><div><font face="monospace, monospace">Forwarding 'ping' to json server 'https://</font><span style="font-family:monospace,monospace"><a href="http://ipa.hq.example.com">ipa.hq.example.com</a></span><font face="monospace, monospace">/ipa/json'</font></div><div><font face="monospace, monospace">Forwarding 'ca_is_enabled' to json server 'https://</font><span style="font-family:monospace,monospace"><a href="http://ipa.hq.example.com">ipa.hq.example.com</a></span><font face="monospace, monospace">/ipa/json'</font></div><div><font face="monospace, monospace">Systemwide CA database updated.</font></div><div><font face="monospace, monospace">Added CA certificates to the default NSS database.</font></div><div><font face="monospace, monospace">Hostname (<a href="http://meson.hq.example.com">meson.hq.example.com</a>) not found in DNS</font></div><div><font face="monospace, monospace" color="#ff0000"><b>Failed to update DNS records.</b></font></div><div><font face="monospace, monospace">Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub</font></div><div><font face="monospace, monospace">Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub</font></div><div><font face="monospace, monospace">Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub</font></div><div><font face="monospace, monospace">Forwarding 'host_mod' to json server 'https://</font><span style="font-family:monospace,monospace"><a href="http://ipa.hq.example.com">ipa.hq.example.com</a></span><font face="monospace, monospace">/ipa/json'</font></div><div><font face="monospace, monospace" color="#ff0000"><b>Could not update DNS SSHFP records.</b></font></div><div><font face="monospace, monospace">SSSD enabled</font></div><div><font face="monospace, monospace">Configured /etc/openldap/ldap.conf</font></div><div><font face="monospace, monospace">NTP enabled</font></div><div><font face="monospace, monospace">Configured /etc/ssh/ssh_config</font></div><div><font face="monospace, monospace">Configured /etc/ssh/sshd_config</font></div><div><font face="monospace, monospace">Configuring <a href="http://hq.example.com">hq.example.com</a> as NIS domain.</font></div><div><font face="monospace, monospace">Client configuration complete.</font></div></div><div><br></div><div><font face="monospace, monospace">$ id admin</font></div><div><div><font face="monospace, monospace">uid=1172000000(admin) gid=1172000000(admins) groups=1172000000(admins)</font></div></div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 22 March 2015 at 21:04, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Sun, Mar 22, 2015 at 04:24:49PM +0100, Roberto Cornacchia wrote:<br>
> Thanks Rob.<br>
><br>
> Knowing that /etc/nsswitch.conf is created wrongly is a step forward,<br>
> although we don't know why that happens yet.<br>
> I'm not very keen on fixing it post-installation (except if this is just to<br>
> learn more about the issue), even if this seems to solve problems. I'm not<br>
> going to deploy freeIPA for real before I can at least run successfully a<br>
> plain installation.<br>
<br>
</span>Hi,<br>
<br>
I find it a bit unexpected that the client system didn't have<br>
nsswitch.conf configured..I've never seen the client installation fail<br>
in this particular way.<br>
<br>
For debugging SSSD issues, we've created a new troubleshooting page<br>
upstream that should walk you through the config:<br>
    <a href="https://fedorahosted.org/sssd/wiki/Troubleshooting" target="_blank">https://fedorahosted.org/sssd/wiki/Troubleshooting</a><br>
maybe this article would also help:<br>
    <a href="https://jhrozek.wordpress.com/2015/03/11/anatomy-of-sssd-user-lookup/" target="_blank">https://jhrozek.wordpress.com/2015/03/11/anatomy-of-sssd-user-lookup/</a><br>
<br>
But most improtantly, I wouldn't expect to see any issues as long as<br>
you use ipa-client-install. I guess re-enrolling the client would be the<br>
fastest way forward?<br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
</div></div></blockquote></div><br></div>