<html><body><p><font face="Arial">Hello all,</font><br><br><font face="Arial">I was hoping someone may have seen this issue or suggest how to further troubleshoot.</font><br><br><font face="Arial">We had FreeIPA configured a few years ago by a team that is now gone.  Several months ago we had an issue where passwords seemed to expire and authentication started failing for users.  For example we were not able to login to the LDAP server via ssh as an LDAP user, shows "Permission denied":</font><br><br><font face="Arial">[fred@fred ~]$ ssh cr0777kk@biobb-ss<br>cr0777kk@biobb-ss's password:<br>Permission denied, please try again.<br>cr0777kk@biobb-ss's password:<br>Permission denied, please try again.<br>cr0777kk@biobb-ss's password:<br>Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).<br>[fred@fred ~]$</font><br><br><font face="Arial">We checked the user status in LDAP and it is not locked and has the correct permissions.  Then we noticed that the server is marked as LOCKED by kerberos in kerberos log: </font><br><font face="Arial">[/var/log/krb5kdc.log]</font><br><br><font face="Arial">root ldap-p1  ~<br># grep biobb-ss /var/log/krb5kdc.log | tail<br>May 16 15:49:51 ldap-p1.freeipa.example.com krb5kdc[20459](info): AS_REQ (4 etypes {18 17 16 23}) 10.107.179.53: LOCKED_OUT: host/biobb-ss.freeipa.example.com@FREEIPA.EXAMPLE.COM for krbtgt/FREEIPA.EXAMPLE.COM@FREEIPA.EXAMPLE.COM, Clients credentials have been revoked<br>May 16 15:50:59 ldap-p1.freeipa.example.com krb5kdc[20459](info): AS_REQ (4 etypes {18 17 16 23}) 10.107.179.53: LOCKED_OUT: host/biobb-ss.freeipa.example.com@FREEIPA.EXAMPLE.COM for krbtgt/FREEIPA.EXAMPLE.COM@FREEIPA.EXAMPLE.COM, Clients credentials have been revoked<br>May 16 15:50:59 ldap-p1.freeipa.example.com krb5kdc[20457](info): AS_REQ (4 etypes {18 17 16 23}) 10.107.179.53: LOCKED_OUT: host/biobb-ss.freeipa.example.com@FREEIPA.EXAMPLE.COM for krbtgt/FREEIPA.EXAMPLE.COM@FREEIPA.EXAMPLE.COM, Clients credentials have been revoked<br>May 16 15:50:59 ldap-p1.freeipa.example.com krb5kdc[20458](info): AS_REQ (4 etypes {18 17 16 23}) 10.107.179.53: LOCKED_OUT: host/biobb-ss.freeipa.example.com@FREEIPA.EXAMPLE.COM for krbtgt/FREEIPA.EXAMPLE.COM@FREEIPA.EXAMPLE.COM, Clients credentials have been revoked<br>root ldap-p1  ~<br>#</font><br><font face="Arial">For this we have a Workaround which is to re-enroll the server in LDAP DB:</font><br><br><font face="Arial">On the LDAP server, we execute these commands:</font><br><font face="Arial"># kinit <LDAP_Admin><br># ipa host-del biobb-ss.freeipa.example.com<br># ipa host-add biobb-ss.freeipa.example.com --password xxxxxxxxxxx<br># ipa hostgroup-add-member dev --hosts=biobb-ss.freeipa.example.com</font><br><br><font face="Arial">This was working for a couple of months, but now when we try the second command (to delete the server from the LDAP DB), it fails.  And if we re execute the same command it shows different errors in the order below:</font><br><br><font face="Arial">Here is what we see now:</font><br><br><font face="Arial"># </font><b><font face="Arial">i</font></b><font face="Arial">pa host-del host.freeipa.example.comm</font><font face="Arial"><br># ipa: ERROR: cannot connect to 'https://host.freeipa.example.com:443/ca/agent/ca/displayBySerial': (SSL_ERROR_BAD_CERT_ALERT) SSL peer cannot verify your certificate.</font><br><br><font face="Arial"># ipa host-del host.freeipa.example.comm<br># ipa: ERROR: cannot connect to 'https://host.freeipa.example.com:443/ca/agent/ca/displayBySerial': (SEC_ERROR_BUSY) NSS could not shutdown. Objects are still in use.</font><br><br><font face="Arial"># ipa host-del host.freeipa.example.comm<br># ipa: ERROR: Certificate format error: (SEC_ERROR_LEGACY_DATABASE) The certificate/key database is in an old, unsupported format.</font><br><br><br>Any help appreciated.  Thank you in advance.<br><br><br>-Vin<br><BR>
</body></html>