<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";
        mso-fareast-language:EN-US;}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:"Calibri","sans-serif";}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-CA" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoPlainText">Thank you guys for your help.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Still can't enroll the client. Any suggestion on the errors below?<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><i><span style="color:red">Kerberos authentication failed: kinit: Improper format of Kerberos configuration file while initializing Kerberos 5 library<o:p></o:p></span></i></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Installation failed. Rolling back changes.<o:p></o:p></p>
<p class="MsoPlainText"><i><span style="color:red">Failed to list certificates in /etc/ipa/nssdb: Command ''/usr/bin/certutil' '-d' '/etc/ipa/nssdb' '-L'' returned non-zero exit status 255<o:p></o:p></span></i></p>
<p class="MsoPlainText">Disabling client Kerberos and LDAP configurations<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Gady Notrica <o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><span lang="EN-US" style="mso-fareast-language:EN-CA">-----Original Message-----<br>
From: freeipa-users-bounces@redhat.com [mailto:freeipa-users-bounces@redhat.com] On Behalf Of Gady Notrica<br>
Sent: April 20, 2016 2:12 PM<br>
To: Rob Crittenden; Martin Basti; freeipa-users@redhat.com<br>
Subject: Re: [Freeipa-users] ipa-client-install errors</span></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Any specific command in particular to remove that keytab?
<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Since these don't work<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">[root@cprddb1 /]# ipa-rmkeytab -r DOMAIN.COM -k /etc/krb5.keytab Kerberos context initialization failed<o:p></o:p></p>
<p class="MsoPlainText">[root@prddb1 /]# ipa-rmkeytab -p ldap/prddb1.ipa.domain.com -k /etc/krb5.keytab Kerberos context initialization failed<o:p></o:p></p>
<p class="MsoPlainText">[root@cprddb1 /]#<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Gady<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">-----Original Message-----<o:p></o:p></p>
<p class="MsoPlainText">From: Rob Crittenden [<a href="mailto:rcritten@redhat.com"><span style="color:windowtext;text-decoration:none">mailto:rcritten@redhat.com</span></a>]<o:p></o:p></p>
<p class="MsoPlainText">Sent: April 20, 2016 1:59 PM<o:p></o:p></p>
<p class="MsoPlainText">To: Martin Basti; Gady Notrica; <a href="mailto:freeipa-users@redhat.com">
<span style="color:windowtext;text-decoration:none">freeipa-users@redhat.com</span></a><o:p></o:p></p>
<p class="MsoPlainText">Subject: Re: [Freeipa-users] ipa-client-install errors<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Martin Basti wrote:<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> On 20.04.2016 18:00, Gady Notrica wrote:<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> Hello World,<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> I am having these errors trying to install ipa-client-install. Every
<o:p></o:p></p>
<p class="MsoPlainText">>> other machine is fine and they IPA servers are functioning perfectly<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> Error trying to clean keytab: /usr/sbin/ipa-rmkeytab returned 1<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> Kerberos authentication failed: kinit: Improper format of Kerberos
<o:p></o:p></p>
<p class="MsoPlainText">>> configuration file while initializing Kerberos 5 library<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> Then I have "/Installation failed. Rolling back changes."/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> I have tried everything I know with no luck. Any idea on how to FIX
<o:p></o:p></p>
<p class="MsoPlainText">>> this? Below is the full log.<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> -----------------------------------------------------------<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /Continue to configure the system with these values? [no]: yes/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /Error trying to clean keytab: /usr/sbin/ipa-rmkeytab returned 1/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /Skipping synchronizing time with NTP server./<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /User authorized to enroll computers: admin/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /Password for <a href="mailto:admin@IPA.DOMAIN.COM:/">
<span style="color:windowtext;text-decoration:none">admin@IPA.DOMAIN.COM:/</span></a><o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /Please make sure the following ports are opened in the firewall
<o:p></o:p></p>
<p class="MsoPlainText">>> settings:/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /TCP: 80, 88, 389/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /UDP: 88 (at least one of TCP/UDP ports 88 has to be open)/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /Also note that following ports are necessary for ipa-client working
<o:p></o:p></p>
<p class="MsoPlainText">>> properly after enrollment:/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /TCP: 464/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /UDP: 464, 123 (if NTP enabled)/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /Kerberos authentication failed: kinit: Improper format of Kerberos
<o:p></o:p></p>
<p class="MsoPlainText">>> configuration file while initializing Kerberos 5 library/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> //<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /Installation failed. Rolling back changes./<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /Failed to list certificates in /etc/ipa/nssdb: Command
<o:p></o:p></p>
<p class="MsoPlainText">>> ''/usr/bin/certutil' '-d' '/etc/ipa/nssdb' '-L'' returned non-zero
<o:p></o:p></p>
<p class="MsoPlainText">>> exit status 255/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /Disabling client Kerberos and LDAP configurations/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /Redundant SSSD configuration file /etc/sssd/sssd.conf was moved to
<o:p></o:p></p>
<p class="MsoPlainText">>> /etc/sssd/sssd.conf.deleted/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /Restoring client configuration files/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /nscd daemon is not installed, skip configuration/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /nslcd daemon is not installed, skip configuration/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /Client uninstall complete./<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> /---------------------------------------------------------------/<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> Gady<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">> Hello,<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> IMO you have an old invalid keytab on that machine. Can you manually
<o:p></o:p></p>
<p class="MsoPlainText">> remove it and try to reinstall client? (Of course only if you are sure
<o:p></o:p></p>
<p class="MsoPlainText">> that keytab there is not needed)<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> The keytab should be located here /etc/krb5.keytab<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">That or /etc/krb5.conf is messed up in some way.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">rob<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">--<o:p></o:p></p>
<p class="MsoPlainText">Manage your subscription for the Freeipa-users mailing list:<o:p></o:p></p>
<p class="MsoPlainText"><a href="https://www.redhat.com/mailman/listinfo/freeipa-users"><span style="color:windowtext;text-decoration:none">https://www.redhat.com/mailman/listinfo/freeipa-users</span></a><o:p></o:p></p>
<p class="MsoPlainText">Go to <a href="http://freeipa.org"><span style="color:windowtext;text-decoration:none">http://freeipa.org</span></a> for more info on the project<o:p></o:p></p>
</div>
</body>
</html>