<html><body><p>Hi Martin, <br><br>Good points<br><br><font size="5" color="#555753">Web UI</font><br><font size="4" color="#555753">Cannot authenticate to Web UI</font><ul><li type="disc"><font color="#2E3436">Make sure that the user can authenticate in CLI, e.g. with kinit $USER --> yes the user can ssh to FreeIPA hosts, and can call kinit without error.</font><li type="disc"><font color="#2E3436">Make sure that httpd, dirsrv and ipa_memcached services on the affected FreeIPA server are running. --> httpd, slapd and </font><font face="Menlo-Regular">memcached</font><font color="#2F2F2F"> all running (proved by </font><font color="#2F2F2F" face="Courier">pgrep -l</font><font color="#2F2F2F">)</font><li type="disc"><font color="#2E3436">Make sure there are no related </font><a href="http://selinuxproject.org/page/NB_AL"><font color="#4E9A06">SELinux AVCs</font></a><font color="#4E9A06"> -- </font><font color="#2E3436">SELinux is disabled</font><li type="disc"><font color="#2E3436">Make sure that cookies are enabled on the client browser --> enabled</font><li type="disc"><font color="#2E3436">Make sure that the time on the FreeIPA server is up to date and there is no (significant) clock skew (</font><a href="https://www.redhat.com/archives/freeipa-users/2015-April/msg00605.html"><font color="#4E9A06">freeipa-users thread</font></a><font color="#2E3436">) --> no clock skew</font><li type="disc"><font color="#2E3436">Search for any related errors in /var/log/httpd/error_log --> no errors today</font></ul><br><font color="#2E3436">Chris</font><br><br><br><br><img width="16" height="16" src="cid:1__=8FBBF5DEDFA78F8A8f9e8a93df938690918c8FB@" border="0" alt="Inactive hide details for Martin Kosek ---02.02.2016 09:53:11---On 02/02/2016 09:49 AM, Christopher Lamb wrote: >"><font color="#424282">Martin Kosek ---02.02.2016 09:53:11---On 02/02/2016 09:49 AM, Christopher Lamb wrote: ></font><br><br><font size="2" color="#5F5F5F">From:        </font><font size="2">Martin Kosek <mkosek@redhat.com></font><br><font size="2" color="#5F5F5F">To:        </font><font size="2">Christopher Lamb/Switzerland/IBM@IBMCH, freeipa-users@redhat.com</font><br><font size="2" color="#5F5F5F">Cc:        </font><font size="2">Alexander Bokovoy <abokovoy@redhat.com></font><br><font size="2" color="#5F5F5F">Date:        </font><font size="2">02.02.2016 09:53</font><br><font size="2" color="#5F5F5F">Subject:        </font><font size="2">Re: [Freeipa-users] Fw: [Centos7.2 Freeipa 4.2] browser : your session has expired</font><br><hr width="100%" size="2" align="left" noshade style="color:#8091A5; "><br><br><br><tt>On 02/02/2016 09:49 AM, Christopher Lamb wrote:<br>> <br>> <br>> Sorry, Notes is playing up, and sent the last before I could type any text!<br>> <br>> The POST /ipa/session/login_password is successful.<br>> <br>> but the POST /ipa/session/json  and  GET /ipa/session/login_kerberos both<br>> give 401 unathorized<br>> <br>> Chris<br><br>Just to make sure we have covered all possible pit holes we have already<br>gathered on our Troubleshooting page, did check all the advise in this list<br><br></tt><tt><a href="http://www.freeipa.org/page/Troubleshooting#Cannot_authenticate_to_Web_UI">http://www.freeipa.org/page/Troubleshooting#Cannot_authenticate_to_Web_UI</a></tt><tt><br><br>?<br><br></tt><br><br><BR>
</body></html>