<div dir="ltr"><div>Hey, that did it! You're the man!<br><br>I didn't have to downgrade openldap, just changed /etc/openldap/ldap.conf to "SASL_NOCANON off". This allowed the install script to complete, and the install script overwrite ldap.conf anyway removing SASL_NOCANON altogether, so things still work.<br>
<br></div><div>I rolled my own krb5/ldap/nss integration back in the early 2000s, so I feel you on all the the upstream lib dependencies. (I used phpLDAPadmin to administer my Directory, and I integrated sendmailMTA object which are very nice [after fixing one or two braindead things about their schema {an inetOrgPerson could not be a sendmailMTA receiver, i wanted merged objects, no separate objects}].)<br>
<br></div><div>After following your advice, I can no longer use kpasswd to set user passwords, but I can reset passwords in the web frontend, so that's fine for now.<br><br></div><div>FreeIPA seems very nice so far, I hope to be able to make meaningful contributions as I become more familiar with this complex integration product.<br>
<br>Thanks!<br><br>Derek<br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, May 8, 2013 at 2:15 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">Derek Moore wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Setting /etc/hostname manually and several restarts and reboots later, I<br>
finally got the install to work (mostly) properly again last night.<br>
<br>
But I still cannot get the XML-RPC server to function properly, the end<br>
of the install script fails on /usr/sbin/ipa-client-install:<br>
<br>
¬† ¬†ipalib.errors.NetworkError: cannot connect to<br>
'<a href="https://ds1.hackunix.org/ipa/xml" target="_blank">https://ds1.hackunix.org/ipa/<u></u>xml</a>': Internal Server Error<br>
<br>
I can't get passed the "No credentials cache found" error in Apache. The<br>
credentials cache it's looking for is httpd's keytab?<br>
<br>
</blockquote>
<br></div></div>
We're fighting some issues with changes in support libraries.<br>
<br>
If you have openldap-2.4.35-3, the default value of SASL_NOCANON changed to on (at our request ironically) which breaks ldapi requests, which we also use. For 3.1.x and 3.2pre1 or beta1 I believe the only solution is to downgrade openldap. We are working with upstream and have provided a patch to the Fedora maintainer to mitigate this but it is yet unresolved.<br>

<br>
If you have krb5 1.11.2-4 then you need to add KRB5CCNAME=/tmp/krb5cc_48 to the end of /etc/sysconfig/httpd. The ccache format was changed to DIR and mod_auth_kerb doesn't support this yet. This fix should work with any version of IPA.<span class="HOEnZb"><font color="#888888"><br>

<br>
rob<br>
<br>
</font></span></blockquote></div><br></div>