<div dir="ltr"><div>The "<span style="font-size:12.8px">KRB5_TRACE=/dev/stderr kinit jon" command helped out immensely by pointing out that it was failing on dir1, but not dir0.</span></div><div><br></div>Turns out it was a DNS issue on my second directory server was breaking replication. <div><br></div><div>Thank you for the assistance.<br><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 23, 2016 at 3:42 PM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, Feb 23, 2016 at 03:33:31PM -0500, Jester wrote:<br>
> Made no changes to the system between posting.  Only tried a couple of<br>
> kinits to generate some logs.<br>
><br>
> Set sssd debug to 9, restarted, did a few kinits.<br>
<br>
kinit doesn't hit sssd, but goes directly to the KDC.<br>
<br>
><br>
> root@nuc0:/var/log/sssd# service sssd start<br>
> root@nuc0:/var/log/sssd# kinit admin<br>
> Password for <a href="mailto:admin@MRJESTER.NET">admin@MRJESTER.NET</a>:<br>
> root@nuc0:/var/log/sssd# kinit jon<br>
<span class="">> kinit: Client '<a href="mailto:jon@MRJESTER.NET">jon@MRJESTER.NET</a>' not found in Kerberos database while<br>
<br>
</span>Again, if you're sure the principal 'jon' exists on the server, then I<br>
would suggest to try:<br>
    KRB5_TRACE=/dev/stderr kinit jon<br>
and see if you talk to the KDC you expect.<br>
</blockquote></div><br></div>