<font size=2 face="sans-serif">The krb5 files are not readable by everyone.
There are multiple krb5 files in tmp, should they automatically be readable
by all? BTW our users do not have home directories if that makes a difference.</font>
<br>
<br><font size=2 face="sans-serif">[rkelly@replicahostname ~]$ ls -lZ /tmp
|grep krb</font>
<br><font size=2 face="sans-serif">-rw-------  root    root
   ?                
               krb5cc_0</font>
<br><font size=2 face="sans-serif">-rw-------  xs05144 xs05144 ?  
                     
       krb5cc_1599000020_u5RRhd</font>
<br><font size=2 face="sans-serif">-rw-------  rkelly  rkelly
 ?                  
             krb5cc_1599100000_oKtZFE</font>
<br><font size=2 face="sans-serif">-rw-------  rkelly  rkelly
 ?                  
             krb5cc_1599100000_ZekyY0</font>
<br><font size=2 face="sans-serif">-rw-------  apache  apache
 ?                  
             krb5cc_48</font>
<br>
<br><font size=2 face="sans-serif">ipa-server-selinux-3.0.0-37.el6.x86_64</font>
<br><font size=2 face="sans-serif">ipa-client-3.0.0-37.el6.x86_64</font>
<br><font size=2 face="sans-serif">ipa-server-3.0.0-37.el6.x86_64</font>
<br><font size=2 face="sans-serif">ipa-pki-common-theme-9.0.3-7.el6.noarch</font>
<br><font size=2 face="sans-serif">libipa_hbac-python-1.9.2-129.el6_5.4.x86_64</font>
<br><font size=2 face="sans-serif">ipa-python-3.0.0-37.el6.x86_64</font>
<br><font size=2 face="sans-serif">ipa-admintools-3.0.0-37.el6.x86_64</font>
<br><font size=2 face="sans-serif">ipa-pki-ca-theme-9.0.3-7.el6.noarch</font>
<br><font size=2 face="sans-serif">libipa_hbac-1.9.2-129.el6_5.4.x86_64</font>
<br><font size=2 face="sans-serif">python-iniparse-0.3.1-2.1.el6.noarch</font>
<br>
<br><font size=2 face="sans-serif">[rkelly@replicahostname ~]$ cat /proc/mounts
| grep /tmp</font>
<br><font size=2 face="sans-serif">/dev/mapper/system-tmp_vol /tmp ext4
rw,relatime,barrier=1,data=ordered 0 0</font>
<br><font size=2 face="sans-serif">[rkelly@replicahostname ~]$ echo $KRB5CCNAME</font>
<br><font size=2 face="sans-serif">FILE:/tmp/krb5cc_1599100000_oKtZFE</font>
<br>
<br><font size=2 face="sans-serif">[rkelly@replicahostname ~]$ ls -lZ /tmp/krb5cc_1599100000_oKtZFE</font>
<br><font size=2 face="sans-serif">-rw------- rkelly rkelly ?    
                     
     /tmp/krb5cc_1599100000_oKtZFE</font>
<br>
<br><font size=2 face="sans-serif">[rkelly@replicahostname ~]$ KRB5_TRACE=/dev/stderr
kinit</font>
<br><font size=2 face="sans-serif">[14559] 1397132474.221287: Getting initial
credentials for rkelly@DOMAIN</font>
<br><font size=2 face="sans-serif">[14559] 1397132474.221510: Sending request
(191 bytes) to DOMAIN</font>
<br><font size=2 face="sans-serif">[14559] 1397132474.221677: Sending initial
UDP request to dgram 10.228.20.25:88</font>
<br><font size=2 face="sans-serif">[14559] 1397132474.225248: Received
answer from dgram 10.228.20.25:88</font>
<br><font size=2 face="sans-serif">[14559] 1397132474.225287: Response
was from master KDC</font>
<br><font size=2 face="sans-serif">[14559] 1397132474.225306: Received
error from KDC: -1765328359/Additional pre-authentication required</font>
<br><font size=2 face="sans-serif">[14559] 1397132474.225331: Processing
preauth types: 136, 19, 2, 133</font>
<br><font size=2 face="sans-serif">[14559] 1397132474.225343: Selected
etype info: etype aes256-cts, salt "IPA2.DC.SITA.AEROrkelly",
params ""</font>
<br><font size=2 face="sans-serif">[14559] 1397132474.225346: Received
cookie: MIT</font>
<br><font size=2 face="sans-serif">Password for rkelly@DOMAIN:</font>
<br><font size=2 face="sans-serif">[14559] 1397132484.255381: AS key obtained
for encrypted timestamp: aes256-cts/DBF7</font>
<br><font size=2 face="sans-serif">[14559] 1397132484.255432: Encrypted
timestamp (for 1397132484.255390): plain 301AA011180F32303134303431303132323132345AA105020303E59E,
encrypted 321A6A1E297880D1E2D1BF069D6D44136D7A2A0D3AAFC3209CB9B4E5BAAE59E928559E47FD0A140F68D377A8398D7CAB4B735D0612247A7C</font>
<br><font size=2 face="sans-serif">[14559] 1397132484.255453: Preauth module
encrypted_timestamp (2) (flags=1) returned: 0/Success</font>
<br><font size=2 face="sans-serif">[14559] 1397132484.255457: Produced
preauth for next request: 133, 2</font>
<br><font size=2 face="sans-serif">[14559] 1397132484.255474: Sending request
(286 bytes) to DOMAIN (master)</font>
<br><font size=2 face="sans-serif">[14559] 1397132484.255560: Sending initial
UDP request to dgram 10.228.20.25:88</font>
<br><font size=2 face="sans-serif">[14559] 1397132484.262563: Received
answer from dgram 10.228.20.25:88</font>
<br><font size=2 face="sans-serif">[14559] 1397132484.262593: Processing
preauth types: 19</font>
<br><font size=2 face="sans-serif">[14559] 1397132484.262600: Selected
etype info: etype aes256-cts, salt "DOMAINrkelly", params ""</font>
<br><font size=2 face="sans-serif">[14559] 1397132484.262603: Produced
preauth for next request: (empty)</font>
<br><font size=2 face="sans-serif">[14559] 1397132484.262609: AS key determined
by preauth: aes256-cts/DBF7</font>
<br><font size=2 face="sans-serif">[14559] 1397132484.262650: Decrypted
AS reply; session key is: aes256-cts/B097</font>
<br><font size=2 face="sans-serif">[14559] 1397132484.262664: FAST negotiation:
available</font>
<br><font size=2 face="sans-serif">[14559] 1397132484.262681: Initializing
FILE:/tmp/krb5cc_1599100000_oKtZFE with default princ rkelly@DOMAIN</font>
<br>
<br><font size=2 face="sans-serif">[rkelly@replicahostname ~]$ KRB5_TRACE=/dev/stderr
klist</font>
<br><font size=2 face="sans-serif">klist: Credentials cache permissions
incorrect while setting cache flags (ticket cache FILE:/tmp/krb5cc_1599100000_oKtZFE)</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br>
<br>
<br><font size=2 face="sans-serif">Thank You,</font>
<br><font size=2 face="sans-serif"><b>Rashard Kelly</b></font><font size=2 face="sans-serif"><b><br>
</b></font>
<br>
<br>
<br>
<br><font size=1 color=#5f5f5f face="sans-serif">From:      
 </font><font size=1 face="sans-serif">Alexander Bokovoy <abokovoy@redhat.com></font>
<br><font size=1 color=#5f5f5f face="sans-serif">To:      
 </font><font size=1 face="sans-serif">Rashard.Kelly@sita.aero</font>
<br><font size=1 color=#5f5f5f face="sans-serif">Cc:      
 </font><font size=1 face="sans-serif">freeipa-users@redhat.com</font>
<br><font size=1 color=#5f5f5f face="sans-serif">Date:      
 </font><font size=1 face="sans-serif">04/10/2014 03:25 AM</font>
<br><font size=1 color=#5f5f5f face="sans-serif">Subject:    
   </font><font size=1 face="sans-serif">Re: [Freeipa-users]
ipa: ERROR: did not receive Kerberos credentials</font>
<br>
<hr noshade>
<br>
<br>
<br><tt><font size=2>On Thu, 10 Apr 2014, Rashard.Kelly@sita.aero wrote:<br>
>Hello all<br>
><br>
><br>
>When I try to execute and commands from the an ipa-replica I get<br>
><br>
>[rkelly@replicahostname ~]$ ipa user-find<br>
>ipa: ERROR: did not receive Kerberos credentials<br>
>[rkelly@replicahostname ~]$ kinit<br>
>Password for rkelly@IPA2.DC.SITA.AERO:<br>
>[rkelly@replicahostname ~]$ ipa user-find<br>
>ipa: ERROR: did not receive Kerberos credentials<br>
>[rkelly@replicahostname ~]$ klist<br>
>klist: Credentials cache permissions incorrect while setting cache
flags<br>
>(ticket cache FILE:/tmp/krb5cc_1599100000_qojy7v)<br>
><br>
>I thought perhaps the two are out of sync<br>
>[root@replicahostname ~]# ipa-replica-manage re-initialize --from<br>
>liipaxs010p.ipa2.dc.sita.aero<br>
>Invalid password<br>
><br>
><br>
>ipa-replica-conncheck says communication is ok.<br>
><br>
>I looked at the httpd, secure,and krb log and none show any activity
when<br>
>I execute the commands above. Im lost any clues as to where I can look
for<br>
>answers?<br>
Let's put IPA commands aside and first find out what's wrong with your<br>
Kerberos infra. Looking at your ticket cache file name<br>
(FILE:/tmp/krb5cc_1599100000_qojy7v) I assume you have come to this<br>
machine via SSH and the ticket cache is created by the sshd or sssd.<br>
<br>
The message you received out of klist is shown if ccache file is either:<br>
  - unaccessible for the user<br>
  - is a directory rather than a file<br>
  - is a broken symlink<br>
  - blocked by some app with explusive locks<br>
  - cannot be open for a write<br>
<br>
Please provide output of <br>
$ cat /proc/mounts | grep /tmp<br>
$ echo $KRB5CCNAME<br>
$ ls -lZ /tmp/krb5cc_1599100000_qojy7v<br>
$ KRB5_TRACE=/dev/stderr kinit<br>
$ KRB5_TRACE=/dev/stderr klist<br>
<br>
You can temporarily overcome this issue by selecting a different ticket<br>
cache by setting KRB5CCNAME environmental variable:<br>
<br>
$ export KRB5CCNAME=$HOME/.krb5cc<br>
$ kinit<br>
$ ipa user-find<br>
...<br>
<br>
However, it would be good to solve the issue to avoid repeating these problems<br>
<br>
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></tt>
<br><BR/><p>
This document is strictly confidential and intended only for use by the
addressee unless otherwise stated.  If you are not the intended recipient,
please notify the sender immediately and delete it from your system.
See you at 2014 Air Transport IT Summit, 17-19 June 2014 
Click here to register http://www.sitasummit.aero
</p>