<font size=2 face="sans-serif">I can run commands after changing the permissions
on the files, but why is it generating files that are not world readable?</font>
<br>
<br><font size=2 face="sans-serif">[rkelly@replicahostname ~]$ ll</font>
<br><font size=2 face="sans-serif">total 84</font>
<br><font size=2 face="sans-serif">-rw-r--r--  1 root    root
    2428 Apr  9 22:34 krb5cc_0</font>
<br><font size=2 face="sans-serif">-rw-r--r--  1 xs05144 xs05144  1146
Apr  3 16:10 krb5cc_1599000020_u5RRhd</font>
<br><font size=2 face="sans-serif">-rw-r--r--  1 rkelly  rkelly
   569 Apr 10 15:14 krb5cc_1599100000_CUkupo</font>
<br><font size=2 face="sans-serif">-rw-r--r--  1 rkelly  rkelly
  1873 Apr  9 23:40 krb5cc_1599100000_ZekyY0</font>
<br><font size=2 face="sans-serif">-rw-r--r--  1 apache  apache
   662 Apr 10 06:02 krb5cc_48</font>
<br>
<br><font size=2 face="sans-serif">[rkelly@replicahostname ~]$ klist</font>
<br><font size=2 face="sans-serif">Ticket cache: FILE:/tmp/krb5cc_1599100000_CUkupo</font>
<br><font size=2 face="sans-serif">Default principal: rkelly@DOMAIN</font>
<br>
<br><font size=2 face="sans-serif">Valid starting     Expires
           Service principal</font>
<br><font size=2 face="sans-serif">04/10/14 15:14:40  04/11/14 15:14:40
 krbtgt/IPA2.DC.SITA.AERO@DOMAIN</font>
<br>
<br><font size=2 face="sans-serif">[rkelly@replicahostname ~]$ ipa user-find
kelly</font>
<br><font size=2 face="sans-serif">--------------</font>
<br><font size=2 face="sans-serif">1 user matched</font>
<br><font size=2 face="sans-serif">--------------</font>
<br><font size=2 face="sans-serif">  User login: rkelly</font>
<br><font size=2 face="sans-serif">  First name: Rashard</font>
<br><font size=2 face="sans-serif">  Last name: KElly</font>
<br><font size=2 face="sans-serif">  Home directory: /home/rkelly</font>
<br><font size=2 face="sans-serif">  Login shell: /bin/sh</font>
<br><font size=2 face="sans-serif">  Email address: rkelly@domain</font>
<br><font size=2 face="sans-serif">  UID: 1599100000</font>
<br><font size=2 face="sans-serif">  GID: 1599100000</font>
<br><font size=2 face="sans-serif">  Account disabled: False</font>
<br><font size=2 face="sans-serif">  Password: True</font>
<br><font size=2 face="sans-serif">  Kerberos keys available: True</font>
<br><font size=2 face="sans-serif">----------------------------</font>
<br><font size=2 face="sans-serif">Number of entries returned 1</font>
<br><font size=2 face="sans-serif">----------------------------</font>
<br><font size=2 face="sans-serif">Thank You,</font>
<br><font size=2 face="sans-serif"><b>Rashard Kelly</b></font>
<br>
<br>
<br>
<br><font size=1 color=#5f5f5f face="sans-serif">From:      
 </font><font size=1 face="sans-serif">Rashard.Kelly@sita.aero</font>
<br><font size=1 color=#5f5f5f face="sans-serif">To:      
 </font><font size=1 face="sans-serif">Alexander Bokovoy <abokovoy@redhat.com></font>
<br><font size=1 color=#5f5f5f face="sans-serif">Cc:      
 </font><font size=1 face="sans-serif">freeipa-users@redhat.com</font>
<br><font size=1 color=#5f5f5f face="sans-serif">Date:      
 </font><font size=1 face="sans-serif">04/10/2014 08:42 AM</font>
<br><font size=1 color=#5f5f5f face="sans-serif">Subject:    
   </font><font size=1 face="sans-serif">Re: [Freeipa-users]
ipa: ERROR: did not receive Kerberos credentials</font>
<br><font size=1 color=#5f5f5f face="sans-serif">Sent by:    
   </font><font size=1 face="sans-serif">freeipa-users-bounces@redhat.com</font>
<br>
<hr noshade>
<br>
<br>
<br><font size=2 face="sans-serif">The krb5 files are not readable by everyone.
There are multiple krb5 files in tmp, should they automatically be readable
by all? BTW our users do not have home directories if that makes a difference.</font><font size=3>
<br>
</font><font size=2 face="sans-serif"><br>
[rkelly@replicahostname ~]$ ls -lZ /tmp |grep krb</font><font size=3> </font><font size=2 face="sans-serif"><br>
-rw-------  root    root    ?      
                     
   krb5cc_0</font><font size=3> </font><font size=2 face="sans-serif"><br>
-rw-------  xs05144 xs05144 ?            
                   krb5cc_1599000020_u5RRhd</font><font size=3>
</font><font size=2 face="sans-serif"><br>
-rw-------  rkelly  rkelly  ?        
                     
 krb5cc_1599100000_oKtZFE</font><font size=3> </font><font size=2 face="sans-serif"><br>
-rw-------  rkelly  rkelly  ?        
                     
 krb5cc_1599100000_ZekyY0</font><font size=3> </font><font size=2 face="sans-serif"><br>
-rw-------  apache  apache  ?        
                     
 krb5cc_48</font><font size=3> <br>
</font><font size=2 face="sans-serif"><br>
ipa-server-selinux-3.0.0-37.el6.x86_64</font><font size=3> </font><font size=2 face="sans-serif"><br>
ipa-client-3.0.0-37.el6.x86_64</font><font size=3> </font><font size=2 face="sans-serif"><br>
ipa-server-3.0.0-37.el6.x86_64</font><font size=3> </font><font size=2 face="sans-serif"><br>
ipa-pki-common-theme-9.0.3-7.el6.noarch</font><font size=3> </font><font size=2 face="sans-serif"><br>
libipa_hbac-python-1.9.2-129.el6_5.4.x86_64</font><font size=3> </font><font size=2 face="sans-serif"><br>
ipa-python-3.0.0-37.el6.x86_64</font><font size=3> </font><font size=2 face="sans-serif"><br>
ipa-admintools-3.0.0-37.el6.x86_64</font><font size=3> </font><font size=2 face="sans-serif"><br>
ipa-pki-ca-theme-9.0.3-7.el6.noarch</font><font size=3> </font><font size=2 face="sans-serif"><br>
libipa_hbac-1.9.2-129.el6_5.4.x86_64</font><font size=3> </font><font size=2 face="sans-serif"><br>
python-iniparse-0.3.1-2.1.el6.noarch</font><font size=3> <br>
</font><font size=2 face="sans-serif"><br>
[rkelly@replicahostname ~]$ cat /proc/mounts | grep /tmp</font><font size=3>
</font><font size=2 face="sans-serif"><br>
/dev/mapper/system-tmp_vol /tmp ext4 rw,relatime,barrier=1,data=ordered
0 0</font><font size=3> </font><font size=2 face="sans-serif"><br>
[rkelly@replicahostname ~]$ echo $KRB5CCNAME</font><font size=3> </font><font size=2 face="sans-serif"><br>
FILE:/tmp/krb5cc_1599100000_oKtZFE</font><font size=3> <br>
</font><font size=2 face="sans-serif"><br>
[rkelly@replicahostname ~]$ ls -lZ /tmp/krb5cc_1599100000_oKtZFE</font><font size=3>
</font><font size=2 face="sans-serif"><br>
-rw------- rkelly rkelly ?              
                 /tmp/krb5cc_1599100000_oKtZFE</font><font size=3>
<br>
</font><font size=2 face="sans-serif"><br>
[rkelly@replicahostname ~]$ KRB5_TRACE=/dev/stderr kinit</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132474.221287: Getting initial credentials for rkelly@DOMAIN</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132474.221510: Sending request (191 bytes) to DOMAIN</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132474.221677: Sending initial UDP request to dgram 10.228.20.25:88</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132474.225248: Received answer from dgram 10.228.20.25:88</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132474.225287: Response was from master KDC</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132474.225306: Received error from KDC: -1765328359/Additional
pre-authentication required</font><font size=3> </font><font size=2 face="sans-serif"><br>
[14559] 1397132474.225331: Processing preauth types: 136, 19, 2, 133</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132474.225343: Selected etype info: etype aes256-cts, salt
"IPA2.DC.SITA.AEROrkelly", params ""</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132474.225346: Received cookie: MIT</font><font size=3> </font><font size=2 face="sans-serif"><br>
Password for rkelly@DOMAIN:</font><font size=3> </font><font size=2 face="sans-serif"><br>
[14559] 1397132484.255381: AS key obtained for encrypted timestamp: aes256-cts/DBF7</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132484.255432: Encrypted timestamp (for 1397132484.255390):
plain 301AA011180F32303134303431303132323132345AA105020303E59E, encrypted
321A6A1E297880D1E2D1BF069D6D44136D7A2A0D3AAFC3209CB9B4E5BAAE59E928559E47FD0A140F68D377A8398D7CAB4B735D0612247A7C</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132484.255453: Preauth module encrypted_timestamp (2) (flags=1)
returned: 0/Success</font><font size=3> </font><font size=2 face="sans-serif"><br>
[14559] 1397132484.255457: Produced preauth for next request: 133, 2</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132484.255474: Sending request (286 bytes) to DOMAIN (master)</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132484.255560: Sending initial UDP request to dgram 10.228.20.25:88</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132484.262563: Received answer from dgram 10.228.20.25:88</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132484.262593: Processing preauth types: 19</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132484.262600: Selected etype info: etype aes256-cts, salt
"DOMAINrkelly", params ""</font><font size=3> </font><font size=2 face="sans-serif"><br>
[14559] 1397132484.262603: Produced preauth for next request: (empty)</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132484.262609: AS key determined by preauth: aes256-cts/DBF7</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132484.262650: Decrypted AS reply; session key is: aes256-cts/B097</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132484.262664: FAST negotiation: available</font><font size=3>
</font><font size=2 face="sans-serif"><br>
[14559] 1397132484.262681: Initializing FILE:/tmp/krb5cc_1599100000_oKtZFE
with default princ rkelly@DOMAIN</font><font size=3> <br>
</font><font size=2 face="sans-serif"><br>
[rkelly@replicahostname ~]$ KRB5_TRACE=/dev/stderr klist</font><font size=3>
</font><font size=2 face="sans-serif"><br>
klist: Credentials cache permissions incorrect while setting cache flags
(ticket cache FILE:/tmp/krb5cc_1599100000_oKtZFE)</font><font size=3> <br>
</font><font size=2 face="sans-serif"><br>
--</font><font size=3> <br>
<br>
</font><font size=2 face="sans-serif"><br>
Thank You,</font><font size=3> </font><font size=2 face="sans-serif"><b><br>
Rashard Kelly</b></font><font size=3><br>
<br>
<br>
<br>
</font><font size=1 color=#5f5f5f face="sans-serif"><br>
From:        </font><font size=1 face="sans-serif">Alexander
Bokovoy <abokovoy@redhat.com></font><font size=3> </font><font size=1 color=#5f5f5f face="sans-serif"><br>
To:        </font><font size=1 face="sans-serif">Rashard.Kelly@sita.aero</font><font size=3>
</font><font size=1 color=#5f5f5f face="sans-serif"><br>
Cc:        </font><font size=1 face="sans-serif">freeipa-users@redhat.com</font><font size=3>
</font><font size=1 color=#5f5f5f face="sans-serif"><br>
Date:        </font><font size=1 face="sans-serif">04/10/2014
03:25 AM</font><font size=3> </font><font size=1 color=#5f5f5f face="sans-serif"><br>
Subject:        </font><font size=1 face="sans-serif">Re:
[Freeipa-users] ipa: ERROR: did not receive Kerberos credentials</font><font size=3>
<br>
</font>
<hr noshade><font size=3><br>
<br>
</font><tt><font size=2><br>
On Thu, 10 Apr 2014, Rashard.Kelly@sita.aero wrote:<br>
>Hello all<br>
><br>
><br>
>When I try to execute and commands from the an ipa-replica I get<br>
><br>
>[rkelly@replicahostname ~]$ ipa user-find<br>
>ipa: ERROR: did not receive Kerberos credentials<br>
>[rkelly@replicahostname ~]$ kinit<br>
>Password for rkelly@IPA2.DC.SITA.AERO:<br>
>[rkelly@replicahostname ~]$ ipa user-find<br>
>ipa: ERROR: did not receive Kerberos credentials<br>
>[rkelly@replicahostname ~]$ klist<br>
>klist: Credentials cache permissions incorrect while setting cache
flags<br>
>(ticket cache FILE:/tmp/krb5cc_1599100000_qojy7v)<br>
><br>
>I thought perhaps the two are out of sync<br>
>[root@replicahostname ~]# ipa-replica-manage re-initialize --from<br>
>liipaxs010p.ipa2.dc.sita.aero<br>
>Invalid password<br>
><br>
><br>
>ipa-replica-conncheck says communication is ok.<br>
><br>
>I looked at the httpd, secure,and krb log and none show any activity
when<br>
>I execute the commands above. Im lost any clues as to where I can look
for<br>
>answers?<br>
Let's put IPA commands aside and first find out what's wrong with your<br>
Kerberos infra. Looking at your ticket cache file name<br>
(FILE:/tmp/krb5cc_1599100000_qojy7v) I assume you have come to this<br>
machine via SSH and the ticket cache is created by the sshd or sssd.<br>
<br>
The message you received out of klist is shown if ccache file is either:<br>
 - unaccessible for the user<br>
 - is a directory rather than a file<br>
 - is a broken symlink<br>
 - blocked by some app with explusive locks<br>
 - cannot be open for a write<br>
<br>
Please provide output of <br>
$ cat /proc/mounts | grep /tmp<br>
$ echo $KRB5CCNAME<br>
$ ls -lZ /tmp/krb5cc_1599100000_qojy7v<br>
$ KRB5_TRACE=/dev/stderr kinit<br>
$ KRB5_TRACE=/dev/stderr klist<br>
<br>
You can temporarily overcome this issue by selecting a different ticket<br>
cache by setting KRB5CCNAME environmental variable:<br>
<br>
$ export KRB5CCNAME=$HOME/.krb5cc<br>
$ kinit<br>
$ ipa user-find<br>
...<br>
<br>
However, it would be good to solve the issue to avoid repeating these problems<br>
<br>
<br>
<br>
-- <br>
/ Alexander Bokovoy</font></tt><font size=3><br>
<br>
</font>
<p><font size=3>This document is strictly confidential and intended only
for use by the addressee unless otherwise stated. If you are not the intended
recipient, please notify the sender immediately and delete it from your
system. See you at 2014 Air Transport IT Summit, 17-19 June 2014 Click
here to register </font><a href=http://www.sitasummit.aero/><font size=3>http://www.sitasummit.aero</font></a><font size=3>
</font><tt><font size=2>_______________________________________________<br>
Freeipa-users mailing list<br>
Freeipa-users@redhat.com<br>
</font></tt><a href="https://www.redhat.com/mailman/listinfo/freeipa-users"><tt><font size=2>https://www.redhat.com/mailman/listinfo/freeipa-users</font></tt></a>
<p><BR/><p>
This document is strictly confidential and intended only for use by the
addressee unless otherwise stated.  If you are not the intended recipient,
please notify the sender immediately and delete it from your system.
See you at 2014 Air Transport IT Summit, 17-19 June 2014 
Click here to register http://www.sitasummit.aero
</p>