<div dir="ltr"><div>I tried to create master replica using the option --setup-ca, it failed, because of "Your system may be partly configured."</div><div><br></div><div>Please note we use different ipa package for master and replica. </div><div><br></div><div>master: </div><div><div>[root@caer ~]# rpm -q ipa-server</div><div>ipa-server-3.0.0-26.el6_4.2.x86_64</div></div><div><br></div><div>replica:</div><div><br></div><div><div>[root@neit-lab01 ~]# rpm -q ipa-server</div><div>ipa-server-3.0.0-50.el6.1.x86_64</div></div><div><br></div><div><b>Is this because ipa-server-3.0.0-50 has updates feature "Proxy calls to /ca/ee/ca/profileSubmit to PKI to enable installation of replicas with Dogtag 10 PKI (#1083878)"</b></div><div><b><br></b></div><div>If yes, how do we fix it? Your help is appreciated. </div><div><br></div><div><br></div><div><div>[root@neit-lab01 ipa]#<b> ipa-replica-install --setup-dns --setup-ca --no-forwarders /var/lib/ipa/replica-info-neit-lab01.teloip.net.gpg</b></div><div>Directory Manager (existing master) password:</div><div><br></div><div>Run connection check to master</div><div>Check connection from replica to remote master '<a href="http://caer.teloip.net">caer.teloip.net</a>':</div><div>   Directory Service: Unsecure port (389): OK</div><div>   Directory Service: Secure port (636): OK</div><div>   Kerberos KDC: TCP (88): OK</div><div>   Kerberos Kpasswd: TCP (464): OK</div><div>   HTTP Server: Unsecure port (80): OK</div><div>   HTTP Server: Secure port (443): OK</div><div>   PKI-CA: Directory Service port (7389): OK</div><div><br></div><div>The following list of ports use UDP protocol and would need to be</div><div>checked manually:</div><div>   Kerberos KDC: UDP (88): SKIPPED</div><div>   Kerberos Kpasswd: UDP (464): SKIPPED</div><div><br></div><div>Connection from replica to master is OK.</div><div>Start listening on required ports for remote master check</div><div>Get credentials to log in to remote master</div><div><a href="mailto:admin@TELOIP.NET">admin@TELOIP.NET</a> password:</div><div><br></div><div>Execute check on remote master</div><div>Check connection from master to remote replica '<a href="http://neit-lab01.teloip.net">neit-lab01.teloip.net</a>':</div><div>   Directory Service: Unsecure port (389): OK</div><div>   Directory Service: Secure port (636): OK</div><div>   Kerberos KDC: TCP (88): OK</div><div>   Kerberos KDC: UDP (88): OK</div><div>   Kerberos Kpasswd: TCP (464): OK</div><div>   Kerberos Kpasswd: UDP (464): OK</div><div>   HTTP Server: Unsecure port (80): OK</div><div>   HTTP Server: Secure port (443): OK</div><div>   PKI-CA: Directory Service port (7389): OK</div><div><br></div><div>Connection from master to replica is OK.</div><div><br></div><div>Connection check OK</div><div>Configuring NTP daemon (ntpd)</div><div>  [1/4]: stopping ntpd</div><div>  [2/4]: writing configuration</div><div>  [3/4]: configuring ntpd to start on boot</div><div>  [4/4]: starting ntpd</div><div>Done configuring NTP daemon (ntpd).</div><div>Configuring directory server for the CA (pkids): Estimated time 30 seconds</div><div>  [1/3]: creating directory server user</div><div>  [2/3]: creating directory server instance</div><div>  [3/3]: restarting directory server</div><div>Done configuring directory server for the CA (pkids).</div><div>Configuring certificate server (pki-cad): Estimated time 3 minutes 30 seconds</div><div>  [1/17]: creating certificate server user</div><div>  [2/17]: creating pki-ca instance</div><div>  [3/17]: configuring certificate server instance</div><div>ipa         : CRITICAL failed to configure ca instance Command '/usr/bin/perl /usr/bin/pkisilent ConfigureCA -cs_hostname <a href="http://neit-lab01.teloip.net">neit-lab01.teloip.net</a> -cs_port 9445 -client_certdb_dir /tmp/tmp-t5u9YQ -client_certdb_pwd XXXXXXXX -preop_pin BAoCQwvMxnG4xLdxOKln -domain_name IPA -admin_user admin -admin_email root@localhost -admin_password XXXXXXXX -agent_name ipa-ca-agent -agent_key_size 2048 -agent_key_type rsa -agent_cert_subject CN=ipa-ca-agent,O=<a href="http://TELOIP.NET">TELOIP.NET</a> -ldap_host <a href="http://neit-lab01.teloip.net">neit-lab01.teloip.net</a> -ldap_port 7389 -bind_dn cn=Directory Manager -bind_password XXXXXXXX -base_dn o=ipaca -db_name ipaca -key_size 2048 -key_type rsa -key_algorithm SHA256withRSA -save_p12 true -backup_pwd XXXXXXXX -subsystem_name pki-cad -token_name internal -ca_subsystem_cert_subject_name CN=CA Subsystem,O=<a href="http://TELOIP.NET">TELOIP.NET</a> -ca_subsystem_cert_subject_name CN=CA Subsystem,O=<a href="http://TELOIP.NET">TELOIP.NET</a> -ca_ocsp_cert_subject_name CN=OCSP Subsystem,O=<a href="http://TELOIP.NET">TELOIP.NET</a> -ca_server_cert_subject_name CN=<a href="http://neit-lab01.teloip.net">neit-lab01.teloip.net</a>,O=<a href="http://TELOIP.NET">TELOIP.NET</a> -ca_audit_signing_cert_subject_name CN=CA Audit,O=<a href="http://TELOIP.NET">TELOIP.NET</a> -ca_sign_cert_subject_name CN=Certificate Authority,O=<a href="http://TELOIP.NET">TELOIP.NET</a> -external false -clone true -clone_p12_file ca.p12 -clone_p12_password XXXXXXXX -sd_hostname <a href="http://caer.teloip.net">caer.teloip.net</a> -sd_admin_port 443 -sd_admin_name admin -sd_admin_password XXXXXXXX -clone_start_tls true -clone_uri <a href="https://caer.teloip.net:443">https://caer.teloip.net:443</a>' returned non-zero exit status 255</div><div><br></div><div>Your system may be partly configured.</div><div>Run /usr/sbin/ipa-server-install --uninstall to clean up.</div><div><br></div><div>Configuration of CA failed</div></div></div>