<font size=2 face="Verdana">Hi, I desperately need your help/advice with
our ipa update process.</font>
<br><font size=2 face="Verdana">Briefly, we'd like to update our IPA 3.0
installation based on CentOS 6.7 to a newer version, and I read that the
way of doing it is to create a new replica with a newer version of IPA
server.</font>
<br><font size=2 face="Verdana">Before writing this post, I browsed for
similar issues (there are many of them with similar outcome) and tried
to apply the suggested solutions but no luck. I also tried previous versions
of Fedora (18 and 19) but again no luck.</font>
<br><font size=2 face="Verdana">It seems I'm stuck and I don't know how
to proceed :(</font>
<br>
<br><font size=2 face="Verdana">Thank you in advance to anyhow who will
take the time to read my message :) Let's start!</font>
<br>
<br><font size=2 face="Verdana">Right now we have a single running on Centos
6.7, and we are planning to create a replica with Fedora 20 which has IPA
3.3</font>
<br>
<br><font size=2 face="Verdana">Here are the details of the master (ipaserver)</font>
<br><font size=2 face="Verdana">[root@ipaserver ~]# uname -a</font>
<br><font size=2 face="Verdana">Linux ipaserver.it.fx.lan 2.6.32-279.el6.x86_64
#1 SMP Fri Jun 22 12:19:21 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux</font>
<br>
<br><font size=2 face="Verdana">[root@ipaserver ~]# rpm -qa|grep -E 'freeipa-server|pki-ca'</font>
<br><font size=2 face="Verdana">ipa-pki-ca-theme-9.0.3-7.el6.noarch</font>
<br><font size=2 face="Verdana">pki-ca-9.0.3-43.el6.noarch</font>
<br>
<br><font size=2 face="Verdana">And here are the details of the replica
(ipaserver-ha2</font>
<br><font size=2 face="Verdana">Replica server on Fedora 20:</font>
<br><font size=2 face="Verdana">[root@ipaserver-ha2 ~]# uname -a</font>
<br><font size=2 face="Verdana">Linux ipaserver-ha2.it.fx.lan 3.19.8-100.fc20.x86_64
#1 SMP Tue May 12 17:08:50 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux</font>
<br>
<br><font size=2 face="Verdana">[root@ipaserver-ha2 ~]# rpm -qa|grep -E
'freeipa-server|pki-ca'</font>
<br><font size=2 face="Verdana">pki-ca-10.1.2-7.fc20.noarch</font>
<br><font size=2 face="Verdana">freeipa-server-3.3.5-1.fc20.x86_64</font>
<br>
<br><font size=2 face="Verdana">Here are the steps I made:</font>
<ul>
<li><font size=2 face="Verdana">Before starting the replica I updated the
schema of the master with the copy-schema-to-ca.py script</font>
<li><font size=2 face="Verdana">I prepared the replica certificates on
the server ("ipa-replica-prepare ipaserver-ha2.it.fx.lan --ip-address
10.0.0.10") and transferred to the replica server on the same folder</font>
<li><font size=2 face="Verdana">The I ran the replica install and here's
the output:</font></ul><font size=2 face="Verdana">[root@ipaserver-ha2 ~]#
ipa-replica-install --setup-ca --setup-dns --no-forwarders --no-ntp /var/lib/ipa/replica-info-ipaserver-ha2.it.fx.lan.gpg
</font>
<br><font size=2 face="Verdana">Directory Manager (existing master) password:
</font>
<br>
<br><font size=2 face="Verdana">Run connection check to master</font>
<br><font size=2 face="Verdana">Check connection from replica to remote
master 'ipaserver.it.fx.lan':</font>
<br><font size=2 face="Verdana">   Directory Service: Unsecure
port (389): OK</font>
<br><font size=2 face="Verdana">   Directory Service: Secure
port (636): OK</font>
<br><font size=2 face="Verdana">   Kerberos KDC: TCP (88): OK</font>
<br><font size=2 face="Verdana">   Kerberos Kpasswd: TCP (464):
OK</font>
<br><font size=2 face="Verdana">   HTTP Server: Unsecure port
(80): OK</font>
<br><font size=2 face="Verdana">   HTTP Server: Secure port (443):
OK</font>
<br><font size=2 face="Verdana">   PKI-CA: Directory Service
port (7389): OK</font>
<br>
<br><font size=2 face="Verdana">The following list of ports use UDP protocol
and would need to be</font>
<br><font size=2 face="Verdana">checked manually:</font>
<br><font size=2 face="Verdana">   Kerberos KDC: UDP (88): SKIPPED</font>
<br><font size=2 face="Verdana">   Kerberos Kpasswd: UDP (464):
SKIPPED</font>
<br>
<br><font size=2 face="Verdana">Connection from replica to master is OK.</font>
<br><font size=2 face="Verdana">Start listening on required ports for remote
master check</font>
<br><font size=2 face="Verdana">Get credentials to log in to remote master</font>
<br><font size=2 face="Verdana">admin@IT.FX.LAN password: </font>
<br>
<br><font size=2 face="Verdana">Check SSH connection to remote master</font>
<br><font size=2 face="Verdana">Execute check on remote master</font>
<br><font size=2 face="Verdana">Check connection from master to remote
replica 'ipaserver-ha2.it.fx.lan':</font>
<br><font size=2 face="Verdana">   Directory Service: Unsecure
port (389): OK</font>
<br><font size=2 face="Verdana">   Directory Service: Secure
port (636): OK</font>
<br><font size=2 face="Verdana">   Kerberos KDC: TCP (88): OK</font>
<br><font size=2 face="Verdana">   Kerberos KDC: UDP (88): OK</font>
<br><font size=2 face="Verdana">   Kerberos Kpasswd: TCP (464):
OK</font>
<br><font size=2 face="Verdana">   Kerberos Kpasswd: UDP (464):
OK</font>
<br><font size=2 face="Verdana">   HTTP Server: Unsecure port
(80): OK</font>
<br><font size=2 face="Verdana">   HTTP Server: Secure port (443):
OK</font>
<br>
<br><font size=2 face="Verdana">Connection from master to replica is OK.</font>
<br>
<br><font size=2 face="Verdana">Connection check OK</font>
<br><font size=2 face="Verdana">Configuring directory server (dirsrv):
Estimated time 1 minute</font>
<br><font size=2 face="Verdana">  [1/34]: creating directory server
user</font>
<br><font size=2 face="Verdana">  [2/34]: creating directory server
instance</font>
<br><font size=2 face="Verdana">  [3/34]: adding default schema</font>
<br><font size=2 face="Verdana">  [4/34]: enabling memberof plugin</font>
<br><font size=2 face="Verdana">  [5/34]: enabling winsync plugin</font>
<br><font size=2 face="Verdana">  [6/34]: configuring replication
version plugin</font>
<br><font size=2 face="Verdana">  [7/34]: enabling IPA enrollment
plugin</font>
<br><font size=2 face="Verdana">  [8/34]: enabling ldapi</font>
<br><font size=2 face="Verdana">  [9/34]: configuring uniqueness plugin</font>
<br><font size=2 face="Verdana">  [10/34]: configuring uuid plugin</font>
<br><font size=2 face="Verdana">  [11/34]: configuring modrdn plugin</font>
<br><font size=2 face="Verdana">  [12/34]: configuring DNS plugin</font>
<br><font size=2 face="Verdana">  [13/34]: enabling entryUSN plugin</font>
<br><font size=2 face="Verdana">  [14/34]: configuring lockout plugin</font>
<br><font size=2 face="Verdana">  [15/34]: creating indices</font>
<br><font size=2 face="Verdana">  [16/34]: enabling referential integrity
plugin</font>
<br><font size=2 face="Verdana">  [17/34]: configuring ssl for ds
instance</font>
<br><font size=2 face="Verdana">  [18/34]: configuring certmap.conf</font>
<br><font size=2 face="Verdana">  [19/34]: configure autobind for
root</font>
<br><font size=2 face="Verdana">  [20/34]: configure new location
for managed entries</font>
<br><font size=2 face="Verdana">  [21/34]: configure dirsrv ccache</font>
<br><font size=2 face="Verdana">  [22/34]: enable SASL mapping fallback</font>
<br><font size=2 face="Verdana">  [23/34]: restarting directory server</font>
<br><font size=2 face="Verdana">  [24/34]: setting up initial replication</font>
<br><font size=2 face="Verdana">Starting replication, please wait until
this has completed.</font>
<br><font size=2 face="Verdana">Update in progress, 3 seconds elapsed</font>
<br><font size=2 face="Verdana">Update succeeded</font>
<br>
<br><font size=2 face="Verdana">  [25/34]: updating schema</font>
<br><font size=2 face="Verdana">  [26/34]: setting Auto Member configuration</font>
<br><font size=2 face="Verdana">  [27/34]: enabling S4U2Proxy delegation</font>
<br><font size=2 face="Verdana">  [28/34]: initializing group membership</font>
<br><font size=2 face="Verdana">  [29/34]: adding master entry</font>
<br><font size=2 face="Verdana">  [30/34]: configuring Posix uid/gid
generation</font>
<br><font size=2 face="Verdana">  [31/34]: adding replication acis</font>
<br><font size=2 face="Verdana">  [32/34]: enabling compatibility
plugin</font>
<br><font size=2 face="Verdana">  [33/34]: tuning directory server</font>
<br><font size=2 face="Verdana">  [34/34]: configuring directory to
start on boot</font>
<br><font size=2 face="Verdana">Done configuring directory server (dirsrv).</font>
<br><font size=2 face="Verdana">Configuring certificate server (pki-tomcatd):
Estimated time 3 minutes 30 seconds</font>
<br><font size=2 face="Verdana">  [1/19]: creating certificate server
user</font>
<br><font size=2 face="Verdana">  [2/19]: configuring certificate
server instance</font>
<br><font size=2 face="Verdana">ipa         : CRITICAL
failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/tmpoqFGBW'
returned non-zero exit status 1</font>
<br>
<br><font size=2 face="Verdana">Your system may be partly configured.</font>
<br><font size=2 face="Verdana">Run /usr/sbin/ipa-server-install --uninstall
to clean up.</font>
<br>
<br><font size=2 face="Verdana">Configuration of CA failed</font>
<br>
<br>
<br><font size=2 face="Verdana">Here are the log files on the replica server:</font>
<br>
<br>
<br>
<br>
<br>
<br><font size=2 face="Verdana">On the master I extraced the access log
of the http server:</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:30:23 +0100]
"GET /ca/rest/securityDomain/domainInfo HTTP/1.1" 404 317</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:30:23 +0100]
"GET /ca/admin/ca/getDomainXML HTTP/1.1" 200 1593</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:30:23 +0100]
"GET /ca/rest/account/login HTTP/1.1" 404 305</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:30:45 +0100]
"POST /ca/admin/ca/getCertChain HTTP/1.0" 200 1410</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:30:46 +0100]
"GET /ca/rest/account/login HTTP/1.1" 404 305</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:30:46 +0100]
"POST /ca/admin/ca/getCookie HTTP/1.1" 200 4092</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:30:47 +0100]
"POST /ca/admin/ca/getDomainXML HTTP/1.0" 200 1593</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:30:47 +0100]
"POST /ca/admin/ca/getCertChain HTTP/1.0" 200 1410</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:30:47 +0100]
"POST /ca/admin/ca/updateNumberRange HTTP/1.0" 404 313</font>
<br><font size=2 face="Verdana">10.0.0.8 - - [09/Feb/2016:15:30:47 +0100]
"POST /ca/ee/ca/tokenAuthenticate HTTP/1.0" 200 154</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:30:48 +0100]
"POST /ca/admin/ca/updateNumberRange HTTP/1.0" 404 313</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:30:47 +0100]
"POST /ca/ee/ca/updateNumberRange HTTP/1.0" 200 163</font>
<br><font size=2 face="Verdana">10.0.0.8 - - [09/Feb/2016:15:30:48 +0100]
"POST /ca/ee/ca/tokenAuthenticate HTTP/1.0" 200 154</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:30:48 +0100]
"POST /ca/ee/ca/updateNumberRange HTTP/1.0" 200 163</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:30:49 +0100]
"POST /ca/admin/ca/updateNumberRange HTTP/1.0" 404 313</font>
<br><font size=2 face="Verdana">10.0.0.8 - - [09/Feb/2016:15:30:49 +0100]
"POST /ca/ee/ca/tokenAuthenticate HTTP/1.0" 200 154</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:30:49 +0100]
"POST /ca/ee/ca/updateNumberRange HTTP/1.0" 200 157</font>
<br><font size=2 face="Verdana">10.0.0.8 - - [09/Feb/2016:15:30:50 +0100]
"POST /ca/ee/ca/tokenAuthenticate HTTP/1.0" 200 154</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:30:50 +0100]
"POST /ca/admin/ca/getConfigEntries HTTP/1.0" 200 13746</font>
<br><font size=2 face="Verdana">10.0.0.8 - - [09/Feb/2016:15:31:41 +0100]
"POST /ca/ee/ca/tokenAuthenticate HTTP/1.0" 200 154</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:31:41 +0100]
"POST /ca/ee/ca/profileSubmit HTTP/1.0" 200 1459</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:31:42 +0100]
"POST /ca/admin/ca/getDomainXML HTTP/1.0" 200 1593</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:31:42 +0100]
"POST /ca/admin/ca/updateDomainXML HTTP/1.0" 404 311</font>
<br><font size=2 face="Verdana">10.0.0.10 - - [09/Feb/2016:15:31:42 +0100]
"POST /ca/agent/ca/updateDomainXML HTTP/1.0" 200 115</font>
<br>
<br>
<br>
<br><font size=2 face="Verdana">Best regards,</font>
<br>
<br><font size=2 color=#104160 face="Verdana"><b>Giuseppe Calignano</b></font>
<br><font size=1 color=#a2a2a2 face="Verdana">IT Manager</font>
<br><img src=cid:_1_08CE741008CE71A40054DA18C1257F54 style="border:0px solid;">
<br>
<br><font size=1 color=#a2a2a2 face="Verdana">Mobile: +39 335 7864 963
|</font><font size=3 color=#a2a2a2 face="Verdana"> </font><font size=1 color=#a2a2a2 face="Verdana">Office:
+ 39 041 258 7618 |</font><font size=3 color=#a2a2a2 face="Verdana"> </font><font size=1 color=#a2a2a2 face="Verdana">Email:
giuseppe.calignano@finantix.com | skype: quasaro</font>
<br><font size=1 color=#a2a2a2 face="Verdana">Via della Pila, 13 | I-30175
Marghera | Venezia | Italy</font>
<br>
<br><font size=1 color=#a2a2a2 face="Verdana">CONFIDENTIALITY NOTICE -
This message may contain privileged and confidential information intended
only for the use of the addressee named above. If you are not the intended
recipient of this message, you are hereby notified that any use, dissemination,
distribution or reproduction of this message is prohibited. If you have
received this message in error, please notify Finantix immediately via
email to the sender.</font>