<html><head></head><body><div style="color:#000; background-color:#fff; font-family:HelveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif;font-size:14px"><div id="yui_3_16_0_ym19_1_1464095636844_2545"><span id="yui_3_16_0_ym19_1_1464095636844_2546">Sorry for asking the dumb question again. Where are the 389-ds logs? I can't find them in /var/log/ . </span></div> <div class="qtdSeparateBR"><br><br></div><div class="yahoo_quoted" style="display: block;"> <div style="font-family: HelveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif; font-size: 14px;"> <div style="font-family: HelveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif; font-size: 16px;"> <div dir="ltr"><font size="2" face="Arial"> On Monday, May 23, 2016 5:10 PM, Rob Crittenden <rcritten@redhat.com> wrote:<br></font></div>  <br><br> <div class="y_msg_container">Ask Stack wrote:<br clear="none">> Rob<br clear="none">> Thanks for the reply.<br clear="none">> I didn't find anything obvious in /var/log/dirsrv/slapd-/access and<br clear="none">> errors  and /var/log/krb5kdc.log<br clear="none">> Do you know which service is responsible for providing<br clear="none">> "/etc/krb5.keytab" to the client?<br clear="none"><br clear="none">It uses an LDAP extended operation so 389-ds. Any errors would be in the <br clear="none">KDC log or, more likely, in the 389-ds logs.<br clear="none"><br clear="none">rob<div class="yqt5132200693" id="yqtfd67670"><br clear="none"><br clear="none">><br clear="none">> On Monday, May 23, 2016 2:57 PM, Rob Crittenden <<a shape="rect" ymailto="mailto:rcritten@redhat.com" href="mailto:rcritten@redhat.com">rcritten@redhat.com</a>> wrote:<br clear="none">><br clear="none">><br clear="none">> Ask Stack wrote:<br clear="none">><br clear="none">>  > My company's ipa-client-install fail very often. Debug logs show the<br clear="none">>  > process always failed at getting the /etc/krb5.keytab .<br clear="none">>  > Is there a way to modify the script to increase number of attempts to<br clear="none">>  > create /etc/krb5.keytab ?<br clear="none">>  ><br clear="none">>  > I noticed "--kinit-attempts=KINIT_ATTEMPTS, number of attempts to obtain<br clear="none">>  > host TGT (defaults to 5)." But it comes after setting up the<br clear="none">>  > "/etc/krb5.keytab" file.<br clear="none">>  > Thanks.<br clear="none">>  ><br clear="none">>  > server<br clear="none">>  > ipa-server-3.0.0-47.el6_7.1.x86_64<br clear="none">>  ><br clear="none">>  > cleint<br clear="none">>  > ipa-client-3.0.0-47.el6_7.2.x86_64<br clear="none">>  > ipa-client-3.0.0-50.el6.1.x86_64<br clear="none">>  ><br clear="none">>  ><br clear="none">>  > #SUCCESSFUL ATTEMPT<br clear="none">>  ><br clear="none">>  > </member>\n<br clear="none">>  > </struct></value>\n<br clear="none">>  > </data></array></value>\n<br clear="none">>  > </param>\n<br clear="none">>  > </params>\n<br clear="none">>  > </methodResponse>\n<br clear="none">>  ><br clear="none">>  > Keytab successfully retrieved and stored in: /etc/krb5.keytab<br clear="none">>  > Certificate subject base is: O=TEST.COM<br clear="none">>  ><br clear="none">>  > 2016-05-23T14:40:49Z INFO Enrolled in IPA realm TEST.COM<br clear="none">>  > 2016-05-23T14:40:49Z DEBUG args=kdestroy<br clear="none">>  > 2016-05-23T14:40:49Z DEBUG stdout=<br clear="none">>  > 2016-05-23T14:40:49Z DEBUG stderr=<br clear="none">>  ><br clear="none">>  ><br clear="none">>  ><br clear="none">>  > #FAILED ATTEMPT<br clear="none">>  ><br clear="none">>  > </member>\n<br clear="none">>  > </struct></value>\n<br clear="none">>  > </data></array></value>\n<br clear="none">>  > </param>\n<br clear="none">>  > </params>\n<br clear="none">>  > </methodResponse>\n<br clear="none">>  ><br clear="none">>  > ipa-getkeytab: ../../../libraries/libldap/extended.c:177:<br clear="none">>  > ldap_parse_extended_result: Assertion `res != ((void *)0)' failed.<br clear="none">>  > Certificate subject base is: O=TEST.COM<br clear="none">>  ><br clear="none">>  > 2016-05-23T14:37:08Z INFO Enrolled in IPA realm TEST.COM<br clear="none">>  > 2016-05-23T14:37:08Z DEBUG args=kdestroy<br clear="none">>  > 2016-05-23T14:37:08Z DEBUG stdout=<br clear="none">>  > 2016-05-23T14:37:08Z DEBUG stderr=<br clear="none">><br clear="none">><br clear="none">> There is no retry capability and in some cases would be impossible to<br clear="none">> add (the one-time password case). Can you check /var/log/krb5kdc on the<br clear="none">> IPA master it connected to, and the 389-ds access and errors logs as<br clear="none">> well. Perhaps one of those will have more information on why things failed.<br clear="none">><br clear="none">> rob<br clear="none">><br clear="none">><br clear="none">><br clear="none">><br clear="none"><br clear="none"></div><br><br></div>  </div> </div>  </div></div></body></html>