<table cellspacing="0" cellpadding="0" border="0" ><tr><td valign="top" style="font: inherit;">Hi Rob,<div><br></div><div>Thanks indeed for the quick reply! Please see the attached backtrace files. I have generated it with the abrt. Is it OK ? please let me know if you need anything else.</div><div><br></div><div>Regards,</div><div>Nasir</div><div><br><br>--- On <b>Mon, 7/25/11, Rob Crittenden <i><rcritten@redhat.com></i></b> wrote:<br><blockquote style="border-left: 2px solid rgb(16, 16, 255); margin-left: 5px; padding-left: 5px;"><br>From: Rob Crittenden <rcritten@redhat.com><br>Subject: Re: [Freeipa-users] FreeIPA for Linux desktop deployment<br>To: "nasir nasir" <kollathodi@yahoo.com><br>Cc: freeipa-users@redhat.com<br>Date: Monday, July 25, 2011, 6:16 AM<br><br><div class="plainMail">nasir nasir wrote:<br>> Hi,<br>><br>> Further to the ongoing deployment of Linux clients and servers using<br>> FreeIPA, I was able to
 successfully get all the requirements like,<br>><br>> -- complete centralized authentication and administration<br>> -- NFS home share<br>> -- HBAC<br>> -- FreeIPA acting as Integrated DNS server<br>><br>> Everything was good during the testing period. But when we went to<br>> production since day before yesterday, we are facing a serious issue.<br>> The DNS in IPA is giving out some problems. All of a sudden it becomes<br>> unresponsive. We already noticed this twice in the past 48 hours. Since<br>> this is the name server for the entire network, everything depending on<br>> this for name resolution fails. When I log in to FreeIPA server machine<br>> and tries to see the status of named service(service named status) the<br>> command hangs. Then I need to forcefully kill the named service and<br>> start it again(or alternatively restart ipa service) to get everything<br>> back to normal. I checked all the
 relevant log files and could see the<br>> following at various point of time in the /var/log/messages(trimmed out<br>> most of the part to show only possible named/sssd/ipa errors)<br>><br>> Jul 22 05:57:55 openipa named[10135]: semaphore.c:70: fatal error:<br>> Jul 22 05:57:55 openipa named[10135]:<br>> RUNTIME_CHECK(((pthread_mutex_destroy((&sem->mutex)) == 0) ? 0 : 34) ==<br>> 0) failed<br>> Jul 22 05:57:55 openipa named[10135]: exiting (due to fatal error in<br>> library)<br>> Jul 22 05:57:55 openipa abrt[12698]: /var/named/core.10135 is not a<br>> regular file with link count 1: Permission denied<br>><br>><br>> Jul 22 14:35:56 openipa [sssd[ldap_child[17070]]]: Failed to initialize<br>> credentials using keytab [(null)]: Decrypt integrity check failed.<br>> Unable to create GSSAPI-encrypted LDAP connection.<br>> Jul 22 14:35:56 openipa [sssd[ldap_child[17072]]]: Failed to initialize<br>>
 credentials using keytab [(null)]: Decrypt integrity check failed.<br>> Unable to create GSSAPI-encrypted LDAP connection.<br>><br>><br>> Jul 22 17:54:33 openipa named[15678]: error (network unreachable)<br>> resolving 'snapfiles.com/AAAA/IN': 2001:503:231d::2:30#53<br>><br>><br>> Jul 22 20:00:02 openipa python: IPA compliance checking failed: Error<br>> initializing principal host/<a ymailto="mailto:openipa.hugayet.com@HUGAYET.COM" href="/mc/compose?to=openipa.hugayet.com@HUGAYET.COM">openipa.hugayet.com@HUGAYET.COM</a> in<br>> /etc/krb5.keytab: (-1765328353, 'Decrypt integrity check failed')<br>><br>><br>> Jul 23 09:10:01 openipa abrt[21599]: saved core dump of pid 20934<br>> (/usr/sbin/named) to /var/spool/abrt/ccpp-1311401401-20934.new/coredump<br>> (37900288 bytes)<br>> Jul 23 09:10:01 openipa abrtd: Directory 'ccpp-1311401401-20934'<br>> creation detected<br>> Jul 23 09:10:01 openipa abrtd:
 Crash is in database already (dup of<br>> /var/spool/abrt/ccpp-1307530903-2297)<br>> Jul 23 09:10:01 openipa abrtd: Deleting crash ccpp-1311401401-20934 (dup<br>> of ccpp-1307530903-2297), sending dbus signal<br>> Jul 23 09:10:03 openipa named[21631]: starting BIND<br>> 9.7.3-RedHat-9.7.3-2.el6 -u named -4<br>><br>><br>> Jul 23 15:35:56 openipa [sssd[ldap_child[22297]]]: Failed to initialize<br>> credentials using keytab [(null)]: Decrypt integrity check failed.<br>> Unable to create GSSAPI-encrypted LDAP connection.<br>> Jul 23 15:35:56 openipa [sssd[ldap_child[22298]]]: Failed to initialize<br>> credentials using keytab [(null)]: Decrypt integrity check failed.<br>> Unable to create GSSAPI-encrypted LDAP connection.<br>><br>> Jul 23 09:10:03 openipa named[21631]: adjusted limit on open files from<br>> 1024 to 1048576<br>><br>><br>> Jul 24 03:16:01 openipa [sssd[ldap_child[22964]]]: Failed to
 initialize<br>> credentials using keytab [(null)]: Decrypt integrity check failed.<br>> Unable to create GSSAPI-encrypted LDAP connection.<br>> Jul 24 04:00:02 openipa python: IPA compliance checking failed: Error<br>> initializing principal host/<a ymailto="mailto:openipa.hugayet.com@HUGAYET.COM" href="/mc/compose?to=openipa.hugayet.com@HUGAYET.COM">openipa.hugayet.com@HUGAYET.COM</a> in<br>> /etc/krb5.keytab: (-1765328353, 'Decrypt integrity check failed')<br>> Jul 24 06:17:25 openipa named[21631]: semaphore.c:70: fatal error:<br>> Jul 24 06:17:25 openipa named[21631]:<br>> RUNTIME_CHECK(((pthread_mutex_destroy((&sem->mutex)) == 0) ? 0 : 34) ==<br>> 0) failed<br>> Jul 24 06:17:25 openipa named[21631]: exiting (due to fatal error in<br>> library)<br>> Jul 24 06:17:25 openipa abrt[23220]: saved core dump of pid 21631<br>> (/usr/sbin/named) to /var/spool/abrt/ccpp-1311477445-21631.new/coredump<br>>
 (143396864 bytes)<br>><br>> Also, I could see the following in my krb5kdc.log,<br>><br>> ul 24 06:20:46 openipa.hugayet.com krb5kdc[23721](Error): preauth pkinit<br>> failed to initialize: No realms configured correctly for pkinit support<br>> Jul 24 06:20:46 openipa.hugayet.com krb5kdc[23721](info): setting up<br>> network...<br>> Jul 24 06:20:46 openipa.hugayet.com krb5kdc[23721](info): listening on<br>> fd 9: udp 0.0.0.0.88 (pktinfo)<br>> krb5kdc: setsockopt(10,IPV6_V6ONLY,1) worked<br>> krb5kdc: No realms configured correctly for pkinit support - Cannot<br>> request packet info for udp socket address :: port 88<br>> Jul 24 06:20:46 openipa.hugayet.com krb5kdc[23721](info): skipping<br>> unrecognized local address family 17<br>> Jul 24 06:20:46 openipa.hugayet.com krb5kdc[23721](info): skipping<br>> unrecognized local address family 17<br>> krb5kdc: setsockopt(10,IPV6_V6ONLY,1) worked<br>> Jul 24
 06:20:46 openipa.hugayet.com krb5kdc[23721](info): listening on<br>> fd 10: udp fe80::6ab5:99ff:fec8:160%eth0.88<br>> krb5kdc: setsockopt(11,IPV6_V6ONLY,1) worked<br>> Jul 24 06:20:46 openipa.hugayet.com krb5kdc[23721](info): listening on<br>> fd 12: tcp 0.0.0.0.88<br>> Jul 24 06:20:46 openipa.hugayet.com krb5kdc[23721](info): listening on<br>> fd 11: tcp ::.88<br>> Jul 24 06:20:46 openipa.hugayet.com krb5kdc[23721](info): set up 4 sockets<br>><br>> Also, please note the following points,<br>><br>> ---- For the DHCP service, I have a cobbler server running the service<br>> which will use the FreeIPA server's DNS servicee.(with<br>> *ddns-update-style interim; *option in the dhcp configuration file)<br>> ---- After seeing some permission related issues for named, I have given<br>> /var/named sufficient permission to named daemon for the folder.<br>> ---- Disabled ipv6 for named as I don't use it
 anyway(OPTIONS="-4" in<br>> /etc/sysconfig/named)<br>><br>> Thanks indeed for for all the help so far and waiting for your valuable<br>> input on this!<br><br>If you can get a backtrace on the named core I think that would be very <br>helpful. It could be a problem in bind or in the bind-dyndb-ldap plugin <br>that we use to LDAP as a backend store for bind.<br><br>rob<br></div></blockquote></div></td></tr></table>