<div dir="ltr">Hello !<br><br>I recently installed a replica (master2) in addition of my master (master1) with IPA 3.0.0-47 on RHEL6.6.<br>I don't know from when exactly, but the dirsrv (and the whole ipa service) on master1 crashes regularly with the following logs.<br><br>###<br>[22/Jan/2016:15:38:20 +0100] - 389-Directory/<a href="http://1.2.11.15">1.2.11.15</a> B2015.279.183 starting up<br>[22/Jan/2016:15:38:20 +0100] schema-compat-plugin - warning: no entries set up under cn=computers, cn=compat,dc=<myrealm><br>[22/Jan/2016:15:38:21 +0100] schema-compat-plugin - warning: no entries set up under cn=ng, cn=compat,dc=<myrealm><br>[22/Jan/2016:15:38:21 +0100] schema-compat-plugin - warning: no entries set up under ou=sudoers,dc=<myrealm><br>[22/Jan/2016:15:38:21 +0100] - slapd started.  Listening on All Interfaces port 389 for LDAP requests<br>[22/Jan/2016:15:38:21 +0100] - Listening on All Interfaces port 636 for LDAPS requests<br>[22/Jan/2016:15:38:21 +0100] - Listening on /var/run/slapd-<myrealm>.socket for LDAPI requests<br>[22/Jan/2016:17:04:03 +0100] NSMMReplicationPlugin - changelog program - _cl5WriteOperationTxn: retry (49) the transaction (csn=56a252ef000000040000) failed (rc=-30994 (DB_LOCK_DEADLOCK: Locker killed to resolve a deadlock))<br>[22/Jan/2016:17:04:03 +0100] NSMMReplicationPlugin - changelog program - _cl5WriteOperationTxn: failed to write entry with csn (56a252ef000000040000); db error - -30994 DB_LOCK_DEADLOCK: Locker killed to resolve a deadlock<br>[22/Jan/2016:17:04:03 +0100] NSMMReplicationPlugin - write_changelog_and_ruv: can't add a change for uid=<user1>,cn=users,cn=accounts,dc=<myrealm> (uniqid: a7ebd403-c12111e5-9c84c092-9a5deb81, optype: 16) to changelog csn 56a252ef000000040000<br>[22/Jan/2016:17:04:03 +0100] NSMMReplicationPlugin - agmt="cn=meTo<master2>" (<shortname_master2>:389): Missing data encountered<br>[22/Jan/2016:17:04:03 +0100] NSMMReplicationPlugin - agmt="cn=meTo<master2>" (<shortname_master2>:389): Incremental update failed and requires administrator action<br>###<br><br>Then the dirsrv, I mean the whole ipa server, is down.<br>When I restart the service, here is what is see :<br><br>###<br>[22/Jan/2016:17:06:18 +0100] - 389-Directory/<a href="http://1.2.11.15">1.2.11.15</a> B2015.279.183 starting up<br>[22/Jan/2016:17:06:18 +0100] - Detected Disorderly Shutdown last time Directory Server was running, recovering database.<br>[22/Jan/2016:17:06:18 +0100] schema-compat-plugin - warning: no entries set up under cn=computers, cn=compat,dc=<myrealm><br>[22/Jan/2016:17:06:19 +0100] schema-compat-plugin - warning: no entries set up under cn=ng, cn=compat,dc=<myrealm><br>[22/Jan/2016:17:06:19 +0100] schema-compat-plugin - warning: no entries set up under ou=sudoers,dc=<myrealm><br>[22/Jan/2016:17:06:20 +0100] set_krb5_creds - Could not get initial credentials for principal [ldap/<master1>@<myrealm>] in keytab [FILE:/etc/dirsrv/ds.keytab]: -1765328324 (Generic error (see e-text))<br>[22/Jan/2016:17:06:20 +0100] - slapd started.  Listening on All Interfaces port 389 for LDAP requests<br>[22/Jan/2016:17:06:20 +0100] - Listening on All Interfaces port 636 for LDAPS requests<br>[22/Jan/2016:17:06:20 +0100] - Listening on /var/run/slapd-<myrealm>.socket for LDAPI requests<br>[22/Jan/2016:17:06:20 +0100] slapd_ldap_sasl_interactive_bind - Error: could not perform interactive bind for id [] mech [GSSAPI]: LDAP error -2 (Local error) (SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Credentials cache file '/tmp/krb5cc_244' not found)) errno 0 (Success)<br>[22/Jan/2016:17:06:20 +0100] slapi_ldap_bind - Error: could not perform interactive bind for id [] mech [GSSAPI]: error -2 (Local error)<br>[22/Jan/2016:17:06:20 +0100] NSMMReplicationPlugin - agmt="cn=meTo<master2>" (<shortname_master2>:389): Replication bind with GSSAPI auth failed: LDAP error -2 (Local error) (SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Credentials cache file '/tmp/krb5cc_244' not found))<br>[22/Jan/2016:17:06:23 +0100] NSMMReplicationPlugin - agmt="cn=meTo<master2>" (<shortname_master2>:389): Replication bind with GSSAPI auth resumed<br>###<br><br>It seems that there is a problem to write an entry in the DB ? Do you know how I can solve this problem please ?<br><br>Furthermore, it seems that there is a second problem with the keytab /etc/dirsrv/ds.keytab.<br><br>The keytab is good for me :<br>###<br>#ls -l /etc/dirsrv/ds.keytab<br>-rw------- 1 dirsrv dirsrv 362 Jan 21 14:12 /etc/dirsrv/ds.keytab<br># kinit -kt /etc/dirsrv/ds.keytab ldap/<master1>@<myrealm><br># klist<br>Ticket cache: FILE:/tmp/krb5cc_0<br>Default principal: ldap/<master1>@<myrealm><br><br>Valid starting     Expires            Service principal<br>01/25/16 11:54:23  01/26/16 11:54:23  krbtgt/<myrealm>@<myrealm><br>###<br><br>I wonder if this second problem does not come from the user dirsrv who would not be able to use this keytab.<br>I cannot test this because this user dirsrv has been created with nologin.<br>###<br># su - dirsrv -c "kinit -kt /etc/dirsrv/ds.keytab ldap/<master1>@<myrealm>"<br>This account is currently not available.<br><br># grep dirsrv /etc/passwd<br>dirsrv:x:244:497::/var/lib/dirsrv:/sbin/nologin<br>pkisrv:x:246:497::/var/lib/dirsrv:/sbin/nologin<br>###<br><br>Just for my information, is it normal that these users are created with nologin ?<br><br>Best regards.<br><br>Bahan<br></div>