<div dir="ltr"><div><div><div><div><div>update:<br><br></div>modifying the /etc/krb5.conf, and replacing the name of my freeipa master by the replica fixes the problem.<br></div>So that proves that the kdc is not picked up by discovery.<br><br></div>The problem is that my ubuntu box was enrolled using the ipa-client-install script, and so should be properly configured. <br></div><br>Did I miss any critical option ? <br></div><div>What should the  /etc/krb5.conf be like ?<br><br></div><div>Thanks.<br></div><div><br></div><div><div><div><br><div><br></div></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 5, 2016 at 7:06 PM, Karl Forner <span dir="ltr"><<a href="mailto:karl.forner@gmail.com" target="_blank">karl.forner@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>Another piece of information: <br><br></div>the linux boxes are running ubuntu too, with the same configuration. <br></div>I have configured 2 dns servers, the first for my main freeipa server (which is down), and rhe second for the replica.<br></div>After boot, the linux box can resolve addresses just fine, using the secondary dns. But the box does not pick the kdc from the replica.<br></div><br>It seems to only use the cache, since when I do a klist, I have a ticked expiring at 01/01/1970:<br>Valid starting       Expires              Service principal<br>01/01/1970 01:00:00  01/01/1970 01:00:00<br><div><div><br></div><div>If I do a kinit:<br>kinit: Cannot contact any KDC for realm '<a href="http://EXAMPLE.COM" target="_blank">EXAMPLE.COM</a>' while getting initial credentials<br><br></div><div>And once again, from a box just rebooted.  <br></div><div><br></div><div>When I look at my /etc/krb5.conf, there's a kdc, master_kdc, and admin_server set for my domain.<br></div><div>From what I had understood, I thought they should be ignored, and that the auto discovery should still happen.<br></div><div>Is that so ?<br><br></div><div>Thanks.<br></div><div><br></div><div><br></div></div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 5, 2016 at 12:16 AM, Karl Forner <span dir="ltr"><<a href="mailto:karl.forner@gmail.com" target="_blank">karl.forner@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div><div><div>Hello,<br><br></div>My freeipa master has crashed, and I have a replica running.<br></div>The problem is that I can not use anymore the webapps on my main server which use a kerberos authentication since my server will not switch to the kdc on my replica.<br><br></div>I remember that someone replied me on this list about that problem, but I'd like to konw if there's something I can do besides rebooting my main server ? <br><br></div>freeipa 4.3<br></div><br></div>sssd 1.12.5-1 running on ubuntu 14.04<br><br></div>Thanks.<br></div>
</blockquote></div><br></div>
</div></div></blockquote></div><br></div>