<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif">Please disregard this email, as it was duplicated.<br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Sorry for the incovenience<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 9, 2016 at 4:26 PM,  <span dir="ltr"><<a href="mailto:giuseppe.calignano@finantix.com" target="_blank">giuseppe.calignano@finantix.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><font face="Verdana" size="2">Hi, I desperately need your help/advice with
our ipa update process.</font>
<br><font face="Verdana" size="2">Briefly, we'd like to update our IPA 3.0
installation based on CentOS 6.7 to a newer version, and I read that the
way of doing it is to create a new replica with a newer version of IPA
server.</font>
<br><font face="Verdana" size="2">Before writing this post, I browsed for
similar issues (there are many of them with similar outcome) and tried
to apply the suggested solutions but no luck. I also tried previous versions
of Fedora (18 and 19) but again no luck.</font>
<br><font face="Verdana" size="2">It seems I'm stuck and I don't know how
to proceed :(</font>
<br>
<br><font face="Verdana" size="2">Thank you in advance to anyhow who will
take the time to read my message :) Let's start!</font>
<br>
<br><font face="Verdana" size="2">Right now we have a single running on Centos
6.7, and we are planning to create a replica with Fedora 20 which has IPA
3.3</font>
<br>
<br><font face="Verdana" size="2">Here are the details of the master (ipaserver)</font>
<br><font face="Verdana" size="2">[root@ipaserver ~]# uname -a</font>
<br><font face="Verdana" size="2">Linux ipaserver.it.fx.lan 2.6.32-279.el6.x86_64
#1 SMP Fri Jun 22 12:19:21 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux</font>
<br>
<br><font face="Verdana" size="2">[root@ipaserver ~]# rpm -qa|grep -E 'freeipa-server|pki-ca'</font>
<br><font face="Verdana" size="2">ipa-pki-ca-theme-9.0.3-7.el6.noarch</font>
<br><font face="Verdana" size="2">pki-ca-9.0.3-43.el6.noarch</font>
<br>
<br><font face="Verdana" size="2">And here are the details of the replica
(ipaserver-ha2</font>
<br><font face="Verdana" size="2">Replica server on Fedora 20:</font>
<br><font face="Verdana" size="2">[root@ipaserver-ha2 ~]# uname -a</font>
<br><font face="Verdana" size="2">Linux ipaserver-ha2.it.fx.lan 3.19.8-100.fc20.x86_64
#1 SMP Tue May 12 17:08:50 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux</font>
<br>
<br><font face="Verdana" size="2">[root@ipaserver-ha2 ~]# rpm -qa|grep -E
'freeipa-server|pki-ca'</font>
<br><font face="Verdana" size="2">pki-ca-10.1.2-7.fc20.noarch</font>
<br><font face="Verdana" size="2">freeipa-server-3.3.5-1.fc20.x86_64</font>
<br>
<br><font face="Verdana" size="2">Here are the steps I made:</font>
<ul>
<li><font face="Verdana" size="2">Before starting the replica I updated the
schema of the master with the copy-schema-to-ca.py script</font>
</li><li><font face="Verdana" size="2">I prepared the replica certificates on
the server ("ipa-replica-prepare ipaserver-ha2.it.fx.lan --ip-address
10.0.0.10") and transferred to the replica server on the same folder</font>
</li><li><font face="Verdana" size="2">The I ran the replica install and here's
the output:</font></li></ul><font face="Verdana" size="2">[root@ipaserver-ha2 ~]#
ipa-replica-install --setup-ca --setup-dns --no-forwarders --no-ntp /var/lib/ipa/replica-info-ipaserver-ha2.it.fx.lan.gpg
</font>
<br><font face="Verdana" size="2">Directory Manager (existing master) password:
</font>
<br>
<br><font face="Verdana" size="2">Run connection check to master</font>
<br><font face="Verdana" size="2">Check connection from replica to remote
master 'ipaserver.it.fx.lan':</font>
<br><font face="Verdana" size="2">   Directory Service: Unsecure
port (389): OK</font>
<br><font face="Verdana" size="2">   Directory Service: Secure
port (636): OK</font>
<br><font face="Verdana" size="2">   Kerberos KDC: TCP (88): OK</font>
<br><font face="Verdana" size="2">   Kerberos Kpasswd: TCP (464):
OK</font>
<br><font face="Verdana" size="2">   HTTP Server: Unsecure port
(80): OK</font>
<br><font face="Verdana" size="2">   HTTP Server: Secure port (443):
OK</font>
<br><font face="Verdana" size="2">   PKI-CA: Directory Service
port (7389): OK</font>
<br>
<br><font face="Verdana" size="2">The following list of ports use UDP protocol
and would need to be</font>
<br><font face="Verdana" size="2">checked manually:</font>
<br><font face="Verdana" size="2">   Kerberos KDC: UDP (88): SKIPPED</font>
<br><font face="Verdana" size="2">   Kerberos Kpasswd: UDP (464):
SKIPPED</font>
<br>
<br><font face="Verdana" size="2">Connection from replica to master is OK.</font>
<br><font face="Verdana" size="2">Start listening on required ports for remote
master check</font>
<br><font face="Verdana" size="2">Get credentials to log in to remote master</font>
<br><font face="Verdana" size="2">admin@IT.FX.LAN password: </font>
<br>
<br><font face="Verdana" size="2">Check SSH connection to remote master</font>
<br><font face="Verdana" size="2">Execute check on remote master</font>
<br><font face="Verdana" size="2">Check connection from master to remote
replica 'ipaserver-ha2.it.fx.lan':</font>
<br><font face="Verdana" size="2">   Directory Service: Unsecure
port (389): OK</font>
<br><font face="Verdana" size="2">   Directory Service: Secure
port (636): OK</font>
<br><font face="Verdana" size="2">   Kerberos KDC: TCP (88): OK</font>
<br><font face="Verdana" size="2">   Kerberos KDC: UDP (88): OK</font>
<br><font face="Verdana" size="2">   Kerberos Kpasswd: TCP (464):
OK</font>
<br><font face="Verdana" size="2">   Kerberos Kpasswd: UDP (464):
OK</font>
<br><font face="Verdana" size="2">   HTTP Server: Unsecure port
(80): OK</font>
<br><font face="Verdana" size="2">   HTTP Server: Secure port (443):
OK</font>
<br>
<br><font face="Verdana" size="2">Connection from master to replica is OK.</font>
<br>
<br><font face="Verdana" size="2">Connection check OK</font>
<br><font face="Verdana" size="2">Configuring directory server (dirsrv):
Estimated time 1 minute</font>
<br><font face="Verdana" size="2">  [1/34]: creating directory server
user</font>
<br><font face="Verdana" size="2">  [2/34]: creating directory server
instance</font>
<br><font face="Verdana" size="2">  [3/34]: adding default schema</font>
<br><font face="Verdana" size="2">  [4/34]: enabling memberof plugin</font>
<br><font face="Verdana" size="2">  [5/34]: enabling winsync plugin</font>
<br><font face="Verdana" size="2">  [6/34]: configuring replication
version plugin</font>
<br><font face="Verdana" size="2">  [7/34]: enabling IPA enrollment
plugin</font>
<br><font face="Verdana" size="2">  [8/34]: enabling ldapi</font>
<br><font face="Verdana" size="2">  [9/34]: configuring uniqueness plugin</font>
<br><font face="Verdana" size="2">  [10/34]: configuring uuid plugin</font>
<br><font face="Verdana" size="2">  [11/34]: configuring modrdn plugin</font>
<br><font face="Verdana" size="2">  [12/34]: configuring DNS plugin</font>
<br><font face="Verdana" size="2">  [13/34]: enabling entryUSN plugin</font>
<br><font face="Verdana" size="2">  [14/34]: configuring lockout plugin</font>
<br><font face="Verdana" size="2">  [15/34]: creating indices</font>
<br><font face="Verdana" size="2">  [16/34]: enabling referential integrity
plugin</font>
<br><font face="Verdana" size="2">  [17/34]: configuring ssl for ds
instance</font>
<br><font face="Verdana" size="2">  [18/34]: configuring certmap.conf</font>
<br><font face="Verdana" size="2">  [19/34]: configure autobind for
root</font>
<br><font face="Verdana" size="2">  [20/34]: configure new location
for managed entries</font>
<br><font face="Verdana" size="2">  [21/34]: configure dirsrv ccache</font>
<br><font face="Verdana" size="2">  [22/34]: enable SASL mapping fallback</font>
<br><font face="Verdana" size="2">  [23/34]: restarting directory server</font>
<br><font face="Verdana" size="2">  [24/34]: setting up initial replication</font>
<br><font face="Verdana" size="2">Starting replication, please wait until
this has completed.</font>
<br><font face="Verdana" size="2">Update in progress, 3 seconds elapsed</font>
<br><font face="Verdana" size="2">Update succeeded</font>
<br>
<br><font face="Verdana" size="2">  [25/34]: updating schema</font>
<br><font face="Verdana" size="2">  [26/34]: setting Auto Member configuration</font>
<br><font face="Verdana" size="2">  [27/34]: enabling S4U2Proxy delegation</font>
<br><font face="Verdana" size="2">  [28/34]: initializing group membership</font>
<br><font face="Verdana" size="2">  [29/34]: adding master entry</font>
<br><font face="Verdana" size="2">  [30/34]: configuring Posix uid/gid
generation</font>
<br><font face="Verdana" size="2">  [31/34]: adding replication acis</font>
<br><font face="Verdana" size="2">  [32/34]: enabling compatibility
plugin</font>
<br><font face="Verdana" size="2">  [33/34]: tuning directory server</font>
<br><font face="Verdana" size="2">  [34/34]: configuring directory to
start on boot</font>
<br><font face="Verdana" size="2">Done configuring directory server (dirsrv).</font>
<br><font face="Verdana" size="2">Configuring certificate server (pki-tomcatd):
Estimated time 3 minutes 30 seconds</font>
<br><font face="Verdana" size="2">  [1/19]: creating certificate server
user</font>
<br><font face="Verdana" size="2">  [2/19]: configuring certificate
server instance</font>
<br><font face="Verdana" size="2">ipa         : CRITICAL
failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/tmpoqFGBW'
returned non-zero exit status 1</font>
<br>
<br><font face="Verdana" size="2">Your system may be partly configured.</font>
<br><font face="Verdana" size="2">Run /usr/sbin/ipa-server-install --uninstall
to clean up.</font>
<br>
<br><font face="Verdana" size="2">Configuration of CA failed</font>
<br>
<br>
<br><font face="Verdana" size="2">Here are the log files on the replica server:</font>
<br>
<br>
<br>
<br>
<br>
<br><font face="Verdana" size="2">On the master I extraced the access log
of the http server:</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:30:23 +0100]
"GET /ca/rest/securityDomain/domainInfo HTTP/1.1" 404 317</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:30:23 +0100]
"GET /ca/admin/ca/getDomainXML HTTP/1.1" 200 1593</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:30:23 +0100]
"GET /ca/rest/account/login HTTP/1.1" 404 305</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:30:45 +0100]
"POST /ca/admin/ca/getCertChain HTTP/1.0" 200 1410</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:30:46 +0100]
"GET /ca/rest/account/login HTTP/1.1" 404 305</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:30:46 +0100]
"POST /ca/admin/ca/getCookie HTTP/1.1" 200 4092</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:30:47 +0100]
"POST /ca/admin/ca/getDomainXML HTTP/1.0" 200 1593</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:30:47 +0100]
"POST /ca/admin/ca/getCertChain HTTP/1.0" 200 1410</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:30:47 +0100]
"POST /ca/admin/ca/updateNumberRange HTTP/1.0" 404 313</font>
<br><font face="Verdana" size="2">10.0.0.8 - - [09/Feb/2016:15:30:47 +0100]
"POST /ca/ee/ca/tokenAuthenticate HTTP/1.0" 200 154</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:30:48 +0100]
"POST /ca/admin/ca/updateNumberRange HTTP/1.0" 404 313</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:30:47 +0100]
"POST /ca/ee/ca/updateNumberRange HTTP/1.0" 200 163</font>
<br><font face="Verdana" size="2">10.0.0.8 - - [09/Feb/2016:15:30:48 +0100]
"POST /ca/ee/ca/tokenAuthenticate HTTP/1.0" 200 154</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:30:48 +0100]
"POST /ca/ee/ca/updateNumberRange HTTP/1.0" 200 163</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:30:49 +0100]
"POST /ca/admin/ca/updateNumberRange HTTP/1.0" 404 313</font>
<br><font face="Verdana" size="2">10.0.0.8 - - [09/Feb/2016:15:30:49 +0100]
"POST /ca/ee/ca/tokenAuthenticate HTTP/1.0" 200 154</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:30:49 +0100]
"POST /ca/ee/ca/updateNumberRange HTTP/1.0" 200 157</font>
<br><font face="Verdana" size="2">10.0.0.8 - - [09/Feb/2016:15:30:50 +0100]
"POST /ca/ee/ca/tokenAuthenticate HTTP/1.0" 200 154</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:30:50 +0100]
"POST /ca/admin/ca/getConfigEntries HTTP/1.0" 200 13746</font>
<br><font face="Verdana" size="2">10.0.0.8 - - [09/Feb/2016:15:31:41 +0100]
"POST /ca/ee/ca/tokenAuthenticate HTTP/1.0" 200 154</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:31:41 +0100]
"POST /ca/ee/ca/profileSubmit HTTP/1.0" 200 1459</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:31:42 +0100]
"POST /ca/admin/ca/getDomainXML HTTP/1.0" 200 1593</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:31:42 +0100]
"POST /ca/admin/ca/updateDomainXML HTTP/1.0" 404 311</font>
<br><font face="Verdana" size="2">10.0.0.10 - - [09/Feb/2016:15:31:42 +0100]
"POST /ca/agent/ca/updateDomainXML HTTP/1.0" 200 115</font>
<br>
<br>
<br>
<br><font face="Verdana" size="2">Best regards,</font>
<br>
<br><font color="#104160" face="Verdana" size="2"><b>Giuseppe Calignano</b></font>
<br><font color="#a2a2a2" face="Verdana" size="1">IT Manager</font>
<br><img src="cid:_1_08CE741008CE71A40054DA18C1257F54" style="border:0px solid">
<br>
<br><font color="#a2a2a2" face="Verdana" size="1">Mobile: +39 335 7864 963
|</font><font color="#a2a2a2" face="Verdana" size="3"> </font><font color="#a2a2a2" face="Verdana" size="1">Office:
<a href="tel:%2B%2039%20041%20258%207618" value="+390412587618" target="_blank">+ 39 041 258 7618</a> |</font><font color="#a2a2a2" face="Verdana" size="3"> </font><font color="#a2a2a2" face="Verdana" size="1">Email:
<a href="mailto:giuseppe.calignano@finantix.com" target="_blank">giuseppe.calignano@finantix.com</a> | skype: quasaro</font>
<br><font color="#a2a2a2" face="Verdana" size="1">Via della Pila, 13 | I-30175
Marghera | Venezia | Italy</font>
<br>
<br><font color="#a2a2a2" face="Verdana" size="1">CONFIDENTIALITY NOTICE -
This message may contain privileged and confidential information intended
only for the use of the addressee named above. If you are not the intended
recipient of this message, you are hereby notified that any use, dissemination,
distribution or reproduction of this message is prohibited. If you have
received this message in error, please notify Finantix immediately via
email to the sender.</font><br>--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature"><div dir="ltr"><span style="font-family:verdana,sans-serif">Giuseppe Calignano</span><br></div></div>
</div>