<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 5, 2016 at 8:14 AM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span>On Tue, Jan 05, 2016 at 12:16:48AM +0100, Karl Forner wrote:<br>
> Hello,<br>
><br>
> My freeipa master has crashed, and I have a replica running.<br>
> The problem is that I can not use anymore the webapps on my main server<br>
> which use a kerberos authentication since my server will not switch to the<br>
> kdc on my replica.<br>
<br>
</span>As long as the authentication is done via sssd this should happen<br>
automatically, </blockquote><div><br></div><div>well it does not seem to.<br></div><div>The way I test it is using kinit.<br></div><div>The only log that gets updated in /var/log/sssd is ldap_child.log.1<br></div><div>(what's strange is that there's a ldap_child.log which is empty).<br></div><div>Each time I try a kinit, I get a log line like:<br><br></div><div>(Tue Jan  5 18:10:55 2016) [[sssd[ldap_child[10069]]]] [ldap_child_get_tgt_sync] (0x0010): Failed to init credentials: Cannot contact any KDC for realm '<a href="http://EXAMPLE.COM" target="_blank">EXAMPLE.COM</a>'<br><br></div><div>I tried to send USR1 then USR2 to the main sssd process, without any improvement,<br></div><div><br><br></div><div>In a previous email, Simo Sorce explained me that:<br><br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">Unfortunately it is, it is a <span class="">bug</span> in the way we update the krb5 libraries<br>
to point to a KDC.<br>
<br>
<span class="">SSSD</span> updates this information in a file under /var/lib/sss/pubconf and<br>
krb5 libraries read from it, however kinit cannot force <span class="">sssd</span> to<br>
re-evaluate if the file needs updating.<br>
<br>
If you do a local login instead of a kinit, you will see that <span class="">SSSD</span> will<br>
switch to the new server and subsequent kinit will start using it.<br>
<br>
This is tracked here:<br>
<a href="https://fedorahosted.org/sssd/ticket/941" rel="noreferrer" target="_blank">https://fedorahosted.org/<span class="">sssd</span>/ticket/941</a><br></blockquote></div><div><br> <br></div><div>Could this be related ?<br></div><div><br><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">but you can send USR1 followed by USR2 to sssd to force<br>
going offline and back online. It would be nice to look into the logs,<br>
though, to see why wouldn't sssd fail over itself.<br>
<div><div><br>
><br>
> I remember that someone replied me on this list about that problem, but I'd<br>
> like to konw if there's something I can do besides rebooting my main server<br>
> ?<br>
><br>
> freeipa 4.3<br>
><br>
> sssd 1.12.5-1 running on ubuntu 14.04<br>
><br>
> Thanks.<br>
<br>
</div></div><span><font color="#888888">> --<br>
> Manage your subscription for the Freeipa-users mailing list:<br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
<br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div></div>