<div dir="ltr"><div><div><div><div><div><div>Hello all!<br><br></div>Is there any known issues with registering a CentOS 6 client with a CentOS 7 FreeIPA server?  I just tried to register my first C6 client (fully updated) with our new FreeIPA infrastructure installed on C7, and I'm getting an NSS error:<br><br>args=/usr/sbin/ipa-join -s <a href="http://ds02.domain.com">ds02.domain.com</a> -b dc=ipa,dc=domain,dc=com -d<br>stdout=<br>stderr=XML-RPC CALL:<br><br><?xml version="1.0" encoding="UTF-8"?>\r\n<br><methodCall>\r\n<br><methodName>join</methodName>\r\n<br><params>\r\n<br><param><value><array><data>\r\n<br><value><string><a href="http://hostname.domain.com">hostname.domain.com</a></string></value>\r\n<br></data></array></value></param>\r\n<br><param><value><struct>\r\n<br><member><name>nsosversion</name>\r\n<br><value><string>2.6.32-573.18.1.el6.x86_64</string></value></member>\r\n<br><member><name>nshardwareplatform</name>\r\n<br><value><string>x86_64</string></value></member>\r\n<br></struct></value></param>\r\n<br></params>\r\n<br></methodCall>\r\n<br><br>* About to connect() to <a href="http://ds02.domain.com">ds02.domain.com</a> port 443 (#0)<br>*   Trying 192.168.150.2... * Connected to <a href="http://ds02.domain.com">ds02.domain.com</a> (192.168.150.2) port 443 (#0)<br>* Initializing NSS with certpath: sql:/etc/pki/nssdb<br>*   CAfile: /etc/ipa/ca.crt<br>  CApath: none<br>* NSS error -12190<br>* Closing connection #0<br>libcurl failed to execute the HTTP POST transaction.  SSL connect error<br><br></div>Looking up that NSS error, it seems to indicate a SSL protocol error.  Looking at my FreeIPA webserver configuration, I'm allowing TLSv1.0, TLSv1.1, TLSv1.2:<br><br></div>The oddest part is that, from the client, I can use wget to connect to the IPA server, but can not use curl:<br><br>[root@hostname ~]# wget --no-check-certificate <a href="https://ds02.domain.com">https://ds02.domain.com</a><br>--2016-04-05 17:42:50--  <a href="https://ds02.domain.com/">https://ds02.domain.com/</a><br>Resolving ds02.domain.com... 192.168.150.2<br>Connecting to <a href="http://ds02.domain.com">ds02.domain.com</a>|192.168.150.2|:443... connected.<br>WARNING: cannot verify <a href="http://ds02.domain.com">ds02.domain.com</a>’s certificate, issued by “/O=<a href="http://IPA.DOMAIN.COM/CN=Certificate">IPA.DOMAIN.COM/CN=Certificate</a> Authority”:<br>  Self-signed certificate encountered.<br>HTTP request sent, awaiting response... 301 Moved Permanently<br>Location: <a href="https://ds02.domain.com/ipa/ui">https://ds02.domain.com/ipa/ui</a> [following]<br><br><br>[root@hostname ~]# curl -v -k <a href="https://ds02.domain.com/">https://ds02.domain.com/</a><br>* About to connect() to <a href="http://ds02.domain.com">ds02.domain.com</a> port 443 (#0)<br>*   Trying 192.168.150.2... connected<br>* Connected to <a href="http://ds02.domain.com">ds02.domain.com</a> (192.168.150.2) port 443 (#0)<br>* Initializing NSS with certpath: sql:/etc/pki/nssdb<br>* warning: ignoring value of ssl.verifyhost<br>* NSS error -12190<br>* Closing connection #0<br>* SSL connect error<br>curl: (35) SSL connect error<br><br></div>However, the same curl command, run from another C7 host, works just fine.  Something incompatible in the NSS libraries maybe?<br><br></div>Thanks for any help you can provide!<br><br></div>Jeremy<br></div>