<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">

<html xmlns="http://www.w3.org/1999/xhtml"><head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"/>
 </head><body style=""><div><br>> Martin Kosek <mkosek@redhat.com> hat am 8. April 2015 um 10:59 geschrieben:<br>> <br>> <br>> On 04/08/2015 07:57 AM, Markus Roth wrote:<br>> > <br>> >> Endi Sukma Dewata <edewata@redhat.com> hat am 1. April 2015 um 23:56<br>> >> geschrieben:<br>> >><br>> >><br>> >> On 4/1/2015 4:29 PM, Markus Roth wrote:<br>> >>> Am Mittwoch, 1. April 2015, 16:04:54 schrieben Sie:<br>> >>>> On 4/1/2015 11:56 AM, Endi Sukma Dewata wrote:<br>> >>>>>>> On 03/31/2015 01:54 PM, Markus Roth wrote:<br>> >>>>>>>> Hi all,<br>> >>>>>>>><br>> >>>>>>>> I want setup freeipa 4.1.3 on a fresh installed fedora 21.<br>> >>>>><br>> >>>>>>>> The ipa-server-install shows the following output:<br>> >>>>> ...<br>> >>>>><br>> >>>>>>>> Done configuring directory server (dirsrv).<br>> >>>>>>>> Configuring certificate server (pki-tomcatd): Estimated time 3<br>> >>>>>>>> minutes 30<br>> >>>>>>>> seconds<br>> >>>>>>>><br>> >>>>>>>> [1/27]: creating certificate server user<br>> >>>>>>>> [2/27]: configuring certificate server instance<br>> >>>>>>>> [3/27]: stopping certificate server instance to update CS.cfg<br>> >>>>>>>> [4/27]: backing up CS.cfg<br>> >>>>>>>> [5/27]: disabling nonces<br>> >>>>>>>> [6/27]: set up CRL publishing<br>> >>>>>>>> [7/27]: enable PKIX certificate path discovery and validation<br>> >>>>>>>> [8/27]: starting certificate server instance<br>> >>>>>>>> [error] RuntimeError: CA did not start in 300.0s<br>> >>>>>>>><br>> >>>>>>>> CA did not start in 300.0s<br>> >>>>>>>><br>> >>>>>>>> The ipa server install log shows this:<br>> >>>>>>>><br>> >>>>>>>> 2015-03-31T17:39:35Z DEBUG The CA status is: check interrupted<br>> >>>>>>>> 2015-03-31T17:39:35Z DEBUG Waiting for CA to start...<br>> >>>>><br>> >>>>> ...<br>> >>>>><br>> >>>>>>>> I uninstalled the ipa server completely several times and installed<br>> >>>>>>>> it again.<br>> >>>>>>>> But it always stops at the same step with the setup.<br>> >>>>>>>><br>> >>>>>>>> Can anybody help?<br>> >>>>><br>> >>>>> Based on the IPA install log alone it looks like the DS is already<br>> >>>>> started, and the Dogtag is already started too in step [3/27]. It's the<br>> >>>>> restart on step [8/27] that is failing.<br>> >>>>><br>> >>>>> We will need to see the Dogtag debug log in order to know if Dogtag is<br>> >>>>> indeed failing to restart or the installer for some reason cannot<br>> >>>>> connect to Dogtag.<br>> >>>><br>> >>>> Hi Markus,<br>> >>>><br>> >>>> Based on the logs that you sent me, the Dogtag took a really long time<br>> >>>> to start:<br>> >>>><br>> >>>> INFORMATION: Server startup in 739700 ms<br>> >>>><br>> >>>> More than half of that time was spent starting the CA subsystem alone:<br>> >>>><br>> >>>> INFORMATION: Deployment of configuration descriptor /etc/pki<br>> >>>> /pki-tomcat/Catalina/localhost/ca.xml has finished in 393,390 ms<br>> >>>><br>> >>>> The whole (failed) IPA installation took about 38 minutes. Is this correct?<br>> >>>><br>> >>>> It's possible the system was running out of entropy. You might want to<br>> >>>> install haveged or rngd. See:<br>> >>>> http://blog-ftweedal.rhcloud.com/2014/05/more-entropy-with-haveged/<br>> >>>> https://www.digitalocean.com/community/tutorials/how-to-setup-additional-ent<br>> >>>> ropy-for-cloud-servers-using-haveged<br>> >>>><br>> >>>> However, the system seems to be running very slowly in general. How<br>> >>>> powerful is this machine?<br>> >>><br>> >>> Hi Endi<br>> >>><br>> >>> the system is a banana pi system. Seems that this ARM CPU based system isn't<br>> >>> suitable for FreeIPA....<br>> >><br>> >> The installation might still succeed if IPA doesn't have the 300s time<br>> >> limit. If you want to try, you probably can specify a larger<br>> >> startup_timeout in ~/.ipa/default.conf, or change the code in<br>> >> ipaplatform/redhat/services.py to wait indefinitely, and see what<br>> >> happens. I don't know if it will be usable though.<br>> >><br>> >> --<br>> >> Endi S. Dewata<br>> >><br>> > <br>> > Yersterday I did the installation of freeipa on my banana Pi with modifying the<br>> > source file ipalib/constants.py: ('startup_timeout', 300). I changed it to<br>> > 900 s. And the setup process was successful! The start of the CA had a duration<br>> > of 630s! But after the installation freeipa is usable on the banana Pi.<br>> > <br>> > Thanks to Endi for help.<br>> <br>> That's cool! Do you think that your experience from making it work could form a<br>> nice HOWTO article on<br>> <br>> http://www.freeipa.org/page/HowTos<br>> <br>> ? Maybe it would help others who would want to follow your example on FreeIPA<br>> at *Pi devices :-)<br>> </div>
<div>Of course, I can write this HowTo.</div></body></html>