<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Feb 15, 2013 at 6:56 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Charlie Derwent wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="im">
Hi<br>
So there's nothing I can see in the access logs.<br>
However, I get the following message in the KDC log<br></div>
Feb 15 14:05:49 <a href="http://ipa.example.com" target="_blank">ipa.example.com</a> <<a href="http://ipa.example.com/" target="_blank">http://ipa.example.com/</a>><div class="im"><br>
krb5kdc[1749](info): AS_REQ (12 etypes {18 17 16 23 1 3 2 11 10 15 12<br></div>
13}) 192.168.0.1 <<a href="http://192.168.0.1/" target="_blank">http://192.168.0.1/</a>>: ISSUE: authtime 1360951549,<div class="im"><br>
etypes {rep=18 tkt=18 ses=18}, <a href="mailto:user@EXAMPLE.COM" target="_blank">user@EXAMPLE.COM</a><br></div>
<mailto:<a href="mailto:user@EXAMPLE.COM" target="_blank">user@EXAMPLE.COM</a>> for krbtgt/<a href="mailto:EXAMPLE.COM@EXAMPLE.COM" target="_blank">EXAMPLE.COM@EXAMPLE.COM</a><br>
<mailto:<a href="mailto:krbtgt" target="_blank">krbtgt</a>/<a href="mailto:EXAMPLE.COM@EXAMPLE.COM" target="_blank">EXAMPLE.COM@<u></u>EXAMPLE.COM</a>><div class="im"><br>
and when I get a "kinit(v5): Cannot read password while getting initial<br>
credentials" error I see this error<br></div>
Feb 15 14:39:35 <a href="http://ipa.example.com" target="_blank">ipa.example.com</a> <<a href="http://ipa.example.com/" target="_blank">http://ipa.example.com/</a>><div class="im"><br>
krb5kdc[1749](info): AS_REQ (12 etypes {18 17 16 23 1 3 2 11 10 15 12<br></div>
13}) 192.168.0.1 <<a href="http://192.168.0.1/" target="_blank">http://192.168.0.1/</a>>: NEEDED_PREAUTH: <a href="mailto:user@EXAMPLE.COM" target="_blank">user@EXAMPLE.COM</a><br>
<mailto:<a href="mailto:user@EXAMPLE.COM" target="_blank">user@EXAMPLE.COM</a>> for kadmin/<a href="mailto:changepw@EXAMPLE.COM" target="_blank">changepw@EXAMPLE.COM</a><br>
<mailto:<a href="mailto:kadmin" target="_blank">kadmin</a>/<a href="mailto:changepw@EXAMPLE.COM" target="_blank">changepw@<u></u>EXAMPLE.COM</a>>, Additional pre-authentication required<div class="im"><br>
Interestingly enough when I try a 5.6 server running<br>
ipa-client-2.0.14.el5_7.2 and  xmlrpc-c-client-1.16.24-1206.<u></u>1840.el5 it<br>
works but rolling ipa-client, certmonger, xmlrpc-c and xmlrpc-c-client<br>
back to their 5.6 versions on the 5.8 server makes no difference. I<br>
guess looking at times it has worked I should be getting a TGS_REQ<br>
message in logs immediately after the AS_REQ.<br>
Any ideas or anything else I can check?<br>
Thanks<br></div>
Charliez<br>
</blockquote>
<br>
Are you seeing this failure only on this one 5.8 box or on others as well?<br>
<br>
The linker error is totally bizarre and I'm not sure why you'd get it infrequently.<br>
<br>
Does /var/log/ipaclient-install.log contain any additional information when things fail?<span class=""><font color="#888888"><br>
<br>
rob<br>
<br>
</font></span></blockquote></div><br>On a whole host of 5.8 boxes. I'm 99.9% sure the ipaclient-install.log didn't throw up 
anything I hadn't seen running the installer in debug mode and then mentioned 
in the original e-mail but I'll double check that when I'm in the 
office on Monday.<br><br></div><div class="gmail_extra">Dmitri, I'll triple check the date/timezone settings. I know the times match using the date command, but I haven't checked inside the localtime and clock files, all our servers should be set to UTC someone is getting fired out of a cannon if I find one that isn't. It's worth mentioning that we don't use the ntp function of the IPA server as we're running them inside VMs. All servers get there time from elsewhere.<br>

<br><br></div></div>