<div dir="ltr"><div><div><div><br>> SSSD mostly manages discovery of servers, it is normally configure with<br>> the name _srv_ + an actual name as fallback.<br>> SSSD also feeds the information to kerberos libraries via a plugin.<br><br>ok, I have this line in my /etc/sssd/sssd.conf:<br>ipa_server = _srv_, <a href="http://ipa.example.com">ipa.example.com</a><br><br>How do I check the current ipa_servers picked up by sssd ?<br>How do the info is fed to kerberos libraries ?<br><br>Because I set up a replica, using the adelton docker, which seems to work fine. I can use its DNS, access its web UI, the changes are dynamically updated both ways.<br>So far so good.<br>But if suddenly stops the freeIPA master, and try a kdestroy then kinit on my client, I get<br>kinit: Cannot contact any KDC for realm '<a href="http://EXAMPLE.COM">EXAMPLE.COM</a>' while getting initial credentials<br><br>Looking at /etc/krb5.conf, I see hardcoded values:<br><span style="font-family:monospace,monospace"> #File modified by ipa-client-install<br><br>includedir /var/lib/sss/pubconf/krb5.include.d/<br><br>[libdefaults]<br>  default_realm = <a href="http://EXAMPLE.COM">EXAMPLE.COM</a><br>  dns_lookup_realm = false<br>  dns_lookup_kdc = false<br>  rdns = false<br>  ticket_lifetime = 24h<br>  forwardable = yes<br><br>[realms]<br>  <a href="http://EXAMPLE.COM">EXAMPLE.COM</a> = {<br>    kdc = <a href="http://ipa.example.com:88">ipa.example.com:88</a><br>    master_kdc = <a href="http://ipa.example.com:88">ipa.example.com:88</a><br>    admin_server = <a href="http://ipa.example.com:749">ipa.example.com:749</a><br>    default_domain = <a href="http://example.com">example.com</a><br>    pkinit_anchors = FILE:/etc/ipa/ca.crt<br>  }<br><br>[domain_realm]<br>  .EXAMPLE.com = <a href="http://EXAMPLE.COM">EXAMPLE.COM</a><br>  EXAMPLE.com = <a href="http://EXAMPLE.COM">EXAMPLE.COM</a></span><br><br></div>the same for /etc/ipa/default.conf:<br><span style="font-family:monospace,monospace">#File modified by ipa-client-install<br><br>[global]<br>basedn = dc=example,dc=com<br>realm = <a href="http://EXAMPLE.COM">EXAMPLE.COM</a><br>domain = <a href="http://example.com">example.com</a><br>server = <a href="http://ipah.example.com">ipah.example.com</a><br>xmlrpc_uri = <a href="https://ipah.example.com/ipa/xml">https://ipah.example.com/ipa/xml</a><br>enable_ra = True</span><br><br><br></div>Is this expected ? <br><br></div>Thanks<br><div><div><br><div><br></div></div></div></div>