<div dir="ltr">Do you have a list of all log files involved in IPA?<div>Would be good to consolidate them into ELK for analysis.</div></div><div class="gmail_extra"><br><div class="gmail_quote">2017-01-04 2:48 GMT-06:00 Florence Blanc-Renaud <span dir="ltr"><<a href="mailto:flo@redhat.com" target="_blank">flo@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 01/02/2017 07:24 PM, Daniel Schimpfoessl wrote:<br>
</span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
Thanks for your reply.<br>
<br>
This was the initial error I asked for help a while ago and did not get<br>
resolved. Further digging showed the recent errors.<br>
The service was running (using ipactl start --force) and only after a<br>
restart I am getting a stack trace for two primary messages:<br>
<br>
Could not connect to LDAP server host <a href="http://wwgwho01.webwim.com" rel="noreferrer" target="_blank">wwgwho01.webwim.com</a><br></span>
<<a href="http://wwgwho01.webwim.com" rel="noreferrer" target="_blank">http://wwgwho01.webwim.com</a>> port 636 Error netscape.ldap.LDAPException:<span class=""><br>
Authentication failed (48)<br>
...<br>
<br>
Internal Database Error encountered: Could not connect to LDAP server<br></span>
host <a href="http://wwgwho01.webwim.com" rel="noreferrer" target="_blank">wwgwho01.webwim.com</a> <<a href="http://wwgwho01.webwim.com" rel="noreferrer" target="_blank">http://wwgwho01.webwim.com</a>> port 636 Error<span class=""><br>
netscape.ldap.LDAPException: Authentication failed (48)<br>
...<br>
<br>
and finally:<br>
[02/Jan/2017:12:20:34][localho<wbr>st-startStop-1]: CMSEngine.shutdown()<br>
<br>
<br>
2017-01-02 3:45 GMT-06:00 Florence Blanc-Renaud <<a href="mailto:flo@redhat.com" target="_blank">flo@redhat.com</a><br></span>
<mailto:<a href="mailto:flo@redhat.com" target="_blank">flo@redhat.com</a>>>:<br>
<br>
    systemctl start pki-tomcatd@pki-tomcat.service<br>
<br>
<br>
<br>
</blockquote>
Hi Daniel,<br>
<br>
the next step would be to understand the root cause of this "Authentication failed (48)" error. Note the exact time of this log and look for a corresponding log in the LDAP server logs (/var/log/dirsrv/slapd-DOMAIN-<wbr>COM/access), probably a failing BIND with err=48. This may help diagnose the issue (if we can see which certificate is used for the bind or if there is a specific error message).<br>
<br>
For the record, a successful bind over SSL would produce this type of log where we can see the certificate subject and the user mapped to this certificate:<span class=""><br>
[...] conn=47 fd=84 slot=84 SSL connection from 10.34.58.150 to 10.34.58.150<br></span>
[...] conn=47 TLS1.2 128-bit AES; client CN=CA Subsystem,O=<a href="http://DOMAIN.COM" rel="noreferrer" target="_blank">DOMAIN.COM</a>; issuer CN=Certificate Authority,O=<a href="http://DOMAIN.COM" rel="noreferrer" target="_blank">DOMAIN.COM</a><span class=""><br>
[...] conn=47 TLS1.2 client bound as uid=pkidbuser,ou=people,o=ipac<wbr>a<br>
[...] conn=47 op=0 BIND dn="" method=sasl version=3 mech=EXTERNAL<br>
[...] conn=47 op=0 RESULT err=0 tag=97 nentries=0 etime=0 dn="uid=pkidbuser,ou=people,o=<wbr>ipaca"<br>
<br></span>
Flo<br>
</blockquote></div><br></div>