<div dir="ltr"><span style="font-size:12.8px">Thanks for your quick reply.  What I mean is I am supplying the DM password when prompted following </span><span style="font-size:12.8px">ipa-replica-prepare.<wbr>  I only mentioned the admin user password change to prove that the DM password I have is correct/valid. Otherwise I could not have run this command (and other ldapsearch commands) successfully -> ldappasswd -D 'cn=directory manager' -W -S uid=admin,cn=users,cn=<wbr>accounts,dc=example,dc=com.  I just wanted to show that I've tested the DM password by binding with it (ldapsearch or ldappasswd), and it works, but using it with ipa-replica-prepare fails.   Sorry, I should have picked better examples to explain my problem more clearly.</span><br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><span style="font-size:12.8px">Sincerely,</span><br><br><b style="font-size:12.8px"><span style="font-size:10.0pt;font-family:"Century Gothic",sans-serif;color:#1f497d">Shiela Spaleta</span></b><br><b style="font-size:12.8px"><span style="font-size:10.0pt;font-family:"Century Gothic",sans-serif;color:#1f497d">Senior System Administrator</span></b><br><b style="font-size:12.8px"><span style="font-size:8.0pt;font-family:"Century Gothic",sans-serif;color:#1f497d">Security Compass</span></b><br><br><b style="font-size:12.8px"><span style="font-size:8.0pt;font-family:"Century Gothic",sans-serif;color:#1f497d">p:  </span></b><span style="font-size:8pt;font-family:'Century Gothic',sans-serif;color:rgb(31,73,125)">+1 (888) 777-2211 x171</span><br><p><span style="font-size:8.0pt;font-family:"Century Gothic",sans-serif;color:#1f497d">
<b>m:</b> +1 (647) 539-6366</span></p><p></p>











</div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Fri, Mar 24, 2017 at 6:21 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Shiela Spaleta wrote:<br>
> I can successfully bind as the Directory Manager, but when I use the<br>
> same password to create a replica prep file I get an "Invalid<br>
> Credentials" error.  How is this possible?<br>
><br>
> I'm running FreeIPA v3.0 on Centos 6 and created replica's successfully<br>
> in the past.<br>
><br>
> I tested the Directory Manager password by using it change the admin<br>
> user's password:<br>
><br>
> ldappasswd -D 'cn=directory manager' -W -S<br>
> uid=admin,cn=users,cn=<wbr>accounts,dc=domain,dc=com<br>
><br>
> and that was successful (tested by getting a ticket as admin user with<br>
> new pwd).<br>
><br>
> But when I try to create a replica file:<br>
><br>
> # ipa-replica-prepare <a href="http://ipa2.shiela.com" rel="noreferrer" target="_blank">ipa2.shiela.com</a> <<a href="http://ipa2.shiela.com/" rel="noreferrer" target="_blank">http://ipa2.shiela.com/</a>><br>
><br>
><br>
> Preparing replica for <a href="http://ipa2.shiela.com" rel="noreferrer" target="_blank">ipa2.shiela.com</a><br>
> <<a href="http://ipa2.shiela.com/" rel="noreferrer" target="_blank">http://ipa2.shiela.com/</a>> from <a href="http://ipa1.shiela.com" rel="noreferrer" target="_blank">ipa1.shiela.com</a> <<a href="http://ipa1.shiela.com/" rel="noreferrer" target="_blank">http://ipa1.shiela.com/</a>><br>
> preparation of replica failed: Insufficient access:  Invalid credentials<br>
> Insufficient access:  Invalid credentials<br>
>   File "/usr/sbin/ipa-replica-<wbr>prepare", line 529, in <module><br>
>     main()<br>
><br>
>   File "/usr/sbin/ipa-replica-<wbr>prepare", line 391, in main<br>
>     update_pki_admin_password(<wbr>dirman_password)<br>
><br>
>   File "/usr/sbin/ipa-replica-<wbr>prepare", line 247, in<br>
> update_pki_admin_password<br>
>     bind_pw=dirman_password<br>
><br>
>   File "/usr/lib/python2.6/site-<wbr>packages/ipalib/backend.py", line 63, in<br>
> connect<br>
>     conn = self.create_connection(*args, **kw)<br>
><br>
>   File "/usr/lib/python2.6/site-<wbr>packages/ipaserver/plugins/<wbr>ldap2.py",<br>
> line 846, in create_connection<br>
>     self.handle_errors(e)<br>
><br>
>   File "/usr/lib/python2.6/site-<wbr>packages/ipaserver/plugins/<wbr>ldap2.py",<br>
> line 712, in handle_errors<br>
>     raise errors.ACIError(info="%s %s" % (info, desc))<br>
><br>
> If anyone can shed light on this I would be grateful.  I've checked<br>
> /var/log/dirsrv/PKI-IPA but it has not been any more helpful.<br>
><br>
<br>
admin != Directory Manager.<br>
<br>
Try running kdestroy, then ipa-replica-prepare. You'll be prompted for<br>
the DM password, that should work.<br>
<span class="HOEnZb"><font color="#888888"><br>
rob<br>
<br>
</font></span></blockquote></div><br></div>