<div dir="ltr">Correct.  Same symptoms.<div><br><div>2016-11-29T10:29:42Z DEBUG certmonger request is in state dbus.String(u'CA_UNREACHABLE', variant_level=1)<br></div></div><div><br></div><div>Fedora 24 Server</div><div><br></div><div><div>[root@ns02 ~]# dnf history userinstalled</div><div>Packages installed by user</div><div>freeipa-client-4.3.2-2.fc24.x86_64</div><div>freeipa-server-4.3.2-2.fc24.x86_64</div><div>grub2-1:2.02-0.34.fc24.x86_64</div><div>kernel-4.5.5-300.fc24.x86_64</div><div>kernel-4.8.8-200.fc24.x86_64</div><div>lvm2-2.02.150-2.fc24.x86_64</div><div>xfsprogs-4.5.0-2.fc24.x86_64</div></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-11-29 13:41 GMT+01:00 Petr Vobornik <span dir="ltr"><<a href="mailto:pvoborni@redhat.com" target="_blank">pvoborni@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 11/29/2016 12:43 PM, David Kupka wrote:<br>
> On 29/11/16 12:15, David Dejaeghere wrote:<br>
>> Seems like it is but it does not show a server cert for dirsrv<br>
>><br>
>> [root@ns02 ~]# ls -lZ /etc/dirsrv/slapd-SOMETHING-<wbr>BE/<br>
>> total 468<br>
>> -rw-------. 1 dirsrv root   unconfined_u:object_r:dirsrv_<wbr>config_t:s0<br>
>> 65536<br>
>> Nov 29 11:29 cert8.db<br>
>> -rw-rw----. 1 dirsrv dirsrv unconfined_u:object_r:dirsrv_<wbr>config_t:s0<br>
>> 65536<br>
>> Nov 29 11:29 cert8.db.orig<br>
>> -r--r-----. 1 dirsrv dirsrv unconfined_u:object_r:dirsrv_<wbr>config_t:s0<br>
>> 1623<br>
>> Nov 29 11:29 certmap.conf<br>
>> -rw-------. 1 dirsrv dirsrv system_u:object_r:dirsrv_<wbr>config_t:s0<br>
>> 89977<br>
>> Nov 29 11:29 dse.ldif<br>
>> -rw-------. 2 dirsrv dirsrv system_u:object_r:dirsrv_<wbr>config_t:s0<br>
>> 89977<br>
>> Nov 29 11:29 dse.ldif.bak<br>
>> -rw-------. 2 dirsrv dirsrv system_u:object_r:dirsrv_<wbr>config_t:s0<br>
>> 89977<br>
>> Nov 29 11:29 dse.ldif.startOK<br>
>> -r--r-----. 1 dirsrv dirsrv unconfined_u:object_r:dirsrv_<wbr>config_t:s0<br>
>> 36228<br>
>> Nov 29 11:28 dse_original.ldif<br>
>> -rw-------. 1 dirsrv root   unconfined_u:object_r:dirsrv_<wbr>config_t:s0<br>
>> 16384<br>
>> Nov 29 11:29 key3.db<br>
>> -rw-rw----. 1 dirsrv dirsrv unconfined_u:object_r:dirsrv_<wbr>config_t:s0<br>
>> 16384<br>
>> Nov 29 11:29 key3.db.orig<br>
>> -r--------. 1 dirsrv dirsrv<br>
>> unconfined_u:object_r:dirsrv_<wbr>config_t:s0    66<br>
>> Nov 29 11:29 pin.txt<br>
>> -rw-------. 1 dirsrv dirsrv<br>
>> unconfined_u:object_r:dirsrv_<wbr>config_t:s0    40<br>
>> Nov 29 11:29 pwdfile.txt<br>
>> drwxrwx---. 2 dirsrv dirsrv unconfined_u:object_r:dirsrv_<wbr>config_t:s0<br>
>> 4096<br>
>> Nov 29 11:29 schema<br>
>> -rw-------. 1 dirsrv root   unconfined_u:object_r:dirsrv_<wbr>config_t:s0<br>
>> 16384<br>
>> Nov 29 11:29 secmod.db<br>
>> -rw-rw----. 1 dirsrv dirsrv unconfined_u:object_r:dirsrv_<wbr>config_t:s0<br>
>> 16384<br>
>> Nov 29 11:29 secmod.db.orig<br>
>> -r--r-----. 1 dirsrv dirsrv unconfined_u:object_r:dirsrv_<wbr>config_t:s0<br>
>> 15142<br>
>> Nov 29 11:28 slapd-collations.conf<br>
>><br>
>> [root@ns02 ~]# certutil -d /etc/dirsrv/slapd-SOMETHING-BE -L<br>
>><br>
>> Certificate Nickname                                         Trust<br>
>> Attributes<br>
>><br>
>>  SSL,S/MIME,JAR/XPI<br>
>><br>
>> CN=something-PAPRIKA-CA,DC=<wbr>something,DC=local<br>
>> CT,C,C<br>
>> <a href="http://SOMETHING.BE" rel="noreferrer" target="_blank">SOMETHING.BE</a> IPA CA                                         CT,C,C<br>
>> [root@ns02 ~]# certutil -d /etc/dirsrv/slapd-SOMETHING-BE -L<br>
>><br>
>> Certificate Nickname                                         Trust<br>
>> Attributes<br>
>><br>
>>  SSL,S/MIME,JAR/XPI<br>
>><br>
>> CN=something-PAPRIKA-CA,DC=<wbr>something,DC=local<br>
>> CT,C,C<br>
>> <a href="http://SOMETHING.BE" rel="noreferrer" target="_blank">SOMETHING.BE</a> IPA CA                                         CT,C,C<br>
>><br>
>> [root@ns02 ~]# ausearch -m avc -i<br>
>> <no matches><br>
>><br>
>><br>
><br>
> Exactly, the NSSDB should be accessible to dirsrv and is missing the<br>
> Server-Cert but I don't understand why there's "bad database" error in<br>
> the errors log. I'll try to reproduce it. What version of FreeIPA are<br>
> you using? On what system?<br>
<br>
</div></div>Right.<br>
<br>
Seems bit similar to <a href="https://fedorahosted.org/freeipa/ticket/6514" rel="noreferrer" target="_blank">https://fedorahosted.org/<wbr>freeipa/ticket/6514</a> would<br>
be good to check if it has the same symptoms, mainly<br>
  certmonger request is in state dbus.String(u'CA_UNREACHABLE',<br>
variant_level=1)<br>
<br>
in replica install log.<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
><br>
>><br>
>> 2016-11-29 12:09 GMT+01:00 David Kupka <<a href="mailto:dkupka@redhat.com">dkupka@redhat.com</a>>:<br>
>><br>
>>> On 29/11/16 11:51, David Dejaeghere wrote:<br>
>>><br>
>>>> Hi,<br>
>>>><br>
>>>> I have a setup where i want to add a replica.  The first master<br>
>>>> setup has<br>
>>>> an externally signed cert for dirsrv and httpd.  The replica is<br>
>>>> prepapred<br>
>>>> succesfully with ipa-client-install but the replica install then keeps<br>
>>>> failing.  It seems that during install dirserv is not configured<br>
>>>> correctly<br>
>>>> with a valid server certificate. Output from the dirsrv error added to<br>
>>>> this<br>
>>>> email as well.<br>
>>>><br>
>>>> [root@ns02 ~]# ipa-replica-install --setup-ca<br>
>>>> WARNING: conflicting time&date synchronization service 'chronyd' will<br>
>>>> be disabled in favor of ntpd<br>
>>>><br>
>>>> Run connection check to master<br>
>>>> Connection check OK<br>
>>>> Configuring NTP daemon (ntpd)<br>
>>>>   [1/4]: stopping ntpd<br>
>>>>   [2/4]: writing configuration<br>
>>>>   [3/4]: configuring ntpd to start on boot<br>
>>>>   [4/4]: starting ntpd<br>
>>>> Done configuring NTP daemon (ntpd).<br>
>>>> Configuring directory server (dirsrv). Estimated time: 1 minute<br>
>>>>   [1/43]: creating directory server user<br>
>>>>   [2/43]: creating directory server instance<br>
>>>>   [3/43]: restarting directory server<br>
>>>>   [4/43]: adding default schema<br>
>>>>   [5/43]: enabling memberof plugin<br>
>>>>   [6/43]: enabling winsync plugin<br>
>>>>   [7/43]: configuring replication version plugin<br>
>>>>   [8/43]: enabling IPA enrollment plugin<br>
>>>>   [9/43]: enabling ldapi<br>
>>>>   [10/43]: configuring uniqueness plugin<br>
>>>>   [11/43]: configuring uuid plugin<br>
>>>>   [12/43]: configuring modrdn plugin<br>
>>>>   [13/43]: configuring DNS plugin<br>
>>>>   [14/43]: enabling entryUSN plugin<br>
>>>>   [15/43]: configuring lockout plugin<br>
>>>>   [16/43]: configuring topology plugin<br>
>>>>   [17/43]: creating indices<br>
>>>>   [18/43]: enabling referential integrity plugin<br>
>>>>   [19/43]: configuring certmap.conf<br>
>>>>   [20/43]: configure autobind for root<br>
>>>>   [21/43]: configure new location for managed entries<br>
>>>>   [22/43]: configure dirsrv ccache<br>
>>>>   [23/43]: enabling SASL mapping fallback<br>
>>>>   [24/43]: restarting directory server<br>
>>>>   [25/43]: creating DS keytab<br>
>>>>   [26/43]: retrieving DS Certificate<br>
>>>>   [27/43]: restarting directory server<br>
>>>> ipa         : CRITICAL Failed to restart the directory server (Command<br>
>>>> '/bin/systemctl restart dirsrv@SOMETHING-BE.service' returned non-zero<br>
>>>> exit<br>
>>>> status 1). See the installation log for details.<br>
>>>>   [28/43]: setting up initial replication<br>
>>>>   [error] error: [Errno 111] Connection refused<br>
>>>> Your system may be partly configured.<br>
>>>> Run /usr/sbin/ipa-server-install --uninstall to clean up.<br>
>>>><br>
>>>><br>
>>>> [29/Nov/2016:11:29:44.<wbr>034285579 +0100] SSL alert: Security<br>
>>>> Initialization:<br>
>>>> Can't find certificate (Server-Cert) for family<br>
>>>> cn=RSA,cn=encryption,cn=config (Netscape Portable Runtime error -8174 -<br>
>>>> security library: bad database.)<br>
>>>> [29/Nov/2016:11:29:44.<wbr>045039728 +0100] SSL alert: Security<br>
>>>> Initialization:<br>
>>>> Unable to retrieve private key for cert Server-Cert of family<br>
>>>> cn=RSA,cn=encryption,cn=config (Netscape Portable Runtime error -8174 -<br>
>>>> security library: bad database.)<br>
>>>><br>
>>>><br>
>>>><br>
>>>><br>
>>> Hello David,<br>
>>><br>
>>> The error from the log indicates that either the NSSDB for dirsrv is not<br>
>>> initialized or not accessible.<br>
>>><br>
>>> Could you please send output of the following commands?<br>
>>><br>
>>> # ls -lZ /etc/dirsrv/slapd-$REALM/<br>
>>> # certutil -d /etc/dirsrv/slapd-$REALM/ -L<br>
>>> # ausearch -m avc -i<br>
>>><br>
>>><br>
>>> --<br>
>>> David Kupka<br>
>>><br>
<br>
<br>
--<br>
</div></div><span class="HOEnZb"><font color="#888888">Petr Vobornik<br>
</font></span></blockquote></div><br></div>