<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns:mv="http://macVmlSchemaUri" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Title" content="">
<meta name="Keywords" content="">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:Calibri;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:.5in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:Calibri;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:Calibri;
        color:windowtext;}
span.msoIns
        {mso-style-type:export-only;
        mso-style-name:"";
        text-decoration:underline;
        color:teal;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:Calibri;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:610865042;
        mso-list-type:hybrid;
        mso-list-template-ids:2027453116 67698705 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;}
@list l0:level1
        {mso-level-text:"%1\)";
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level2
        {mso-level-number-format:alpha-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level3
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
@list l0:level4
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level5
        {mso-level-number-format:alpha-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level6
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
@list l0:level7
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level8
        {mso-level-number-format:alpha-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level9
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
ol
        {margin-bottom:0in;}
ul
        {margin-bottom:0in;}
--></style>
</head>
<body bgcolor="white" lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt">We restored data (just the data) from an ipa-backup on a newly-installed and configured host and with an LDAP browser we can see the data; however, the DNS data doesn't appear to be available over port 53
 (selinux & firewall deactivated) and we can't login as any of the preserved users. In the httpd error logs we see output like this:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:02:56.669035 2016] [:error] [pid 15624] ipa: DEBUG: WSGI wsgi_dispatch.__call__:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:02:56.669118 2016] [:error] [pid 15624] ipa: DEBUG: WSGI jsonserver_session.__call__:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:02:56.669915 2016] [:error] [pid 15624] ipa: DEBUG: no session id in request, generating empty session data with id=70632094201d72deec8d6aed0a0c4ace<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:02:56.670014 2016] [:error] [pid 15624] ipa: DEBUG: store session: session_id=70632094201d72deec8d6aed0a0c4ace start_timestamp=2016-06-12T13:02:56 access_timestamp=2016-06-12T13:02:56 expiration_timestamp=1969-12-31T19:00:00<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:02:56.670231 2016] [:error] [pid 15624] ipa: DEBUG: jsonserver_session.__call__: session_id=70632094201d72deec8d6aed0a0c4ace start_timestamp=2016-06-12T13:02:56 access_timestamp=2016-06-12T13:02:56
 expiration_timestamp=1969-12-31T19:00:00<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:02:56.670271 2016] [:error] [pid 15624] ipa: DEBUG: no ccache, need login<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:02:56.670304 2016] [:error] [pid 15624] ipa: DEBUG: jsonserver_session: 401 Unauthorized need login<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:06.961830 2016] [:error] [pid 15623] ipa: DEBUG: WSGI wsgi_dispatch.__call__:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:06.961921 2016] [:error] [pid 15623] ipa: DEBUG: WSGI login_password.__call__:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.070179 2016] [:error] [pid 15623] ipa: DEBUG: Obtaining armor ccache: principal=HTTP/ipa.EXAMPLE.COM@EXAMPLE.COM keytab=/etc/httpd/conf/ipa.keytab ccache=/var/run/ipa_memcached/krbcc_A_username<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.070264 2016] [:error] [pid 15623] ipa: DEBUG: Initializing principal HTTP/ipa.EXAMPLE.COM@EXAMPLE.COM using keytab /etc/httpd/conf/ipa.keytab<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.070298 2016] [:error] [pid 15623] ipa: DEBUG: using ccache /var/run/ipa_memcached/krbcc_A_username<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.088452 2016] [:error] [pid 15623] [remote 10.55.200.1:148] mod_wsgi (pid=15623): Exception occurred processing WSGI script '/usr/share/ipa/wsgi.py'.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.088498 2016] [:error] [pid 15623] [remote 10.55.200.1:148] Traceback (most recent call last):<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.088514 2016] [:error] [pid 15623] [remote 10.55.200.1:148]   File "/usr/share/ipa/wsgi.py", line 49, in application<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.088587 2016] [:error] [pid 15623] [remote 10.55.200.1:148]     return api.Backend.wsgi_dispatch(environ, start_response)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.088596 2016] [:error] [pid 15623] [remote 10.55.200.1:148]   File "/usr/lib/python2.7/site-packages/ipaserver/rpcserver.py", line 258, in __call__<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.088859 2016] [:error] [pid 15623] [remote 10.55.200.1:148]     return self.route(environ, start_response)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.088869 2016] [:error] [pid 15623] [remote 10.55.200.1:148]   File "/usr/lib/python2.7/site-packages/ipaserver/rpcserver.py", line 270, in route<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.088883 2016] [:error] [pid 15623] [remote 10.55.200.1:148]     return app(environ, start_response)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.088888 2016] [:error] [pid 15623] [remote 10.55.200.1:148]   File "/usr/lib/python2.7/site-packages/ipaserver/rpcserver.py", line 944, in __call__<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.088895 2016] [:error] [pid 15623] [remote 10.55.200.1:148]     self.kinit(user, self.api.env.realm, password, ipa_ccache_name)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.088899 2016] [:error] [pid 15623] [remote 10.55.200.1:148]   File "/usr/lib/python2.7/site-packages/ipaserver/rpcserver.py", line 966, in kinit<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.088906 2016] [:error] [pid 15623] [remote 10.55.200.1:148]     raise CCacheError(str(e))<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.088912 2016] [:error] [pid 15623] [remote 10.55.200.1:148]   File "/usr/lib/python2.7/site-packages/ipalib/errors.py", line 248, in __init__<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.089157 2016] [:error] [pid 15623] [remote 10.55.200.1:148]     messages.process_message_arguments(self, format, message, **kw)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.089174 2016] [:error] [pid 15623] [remote 10.55.200.1:148]   File "/usr/lib/python2.7/site-packages/ipalib/messages.py", line 52, in process_message_arguments<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.089252 2016] [:error] [pid 15623] [remote 10.55.200.1:148]     name, format)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[Sun Jun 12 13:03:07.089271 2016] [:error] [pid 15623] [remote 10.55.200.1:148] ValueError: non-generic 'CCacheError' needs format=None; got format="(-1765328353, 'Decrypt integrity check failed')"<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">However, 'kinit username' works.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">An 'ipa user-find username' fails with output like this:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[root@ipa httpd]# ipa user-find username<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">ipa: ERROR: cert validation failed for "CN=ipa-replica-1.EXAMPLE.COM,O=EXAMPLE.COM" ((SEC_ERROR_UNTRUSTED_ISSUER) Peer's certificate issuer has been marked as not trusted by the user.)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">(snip)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">ipa: ERROR: Kerberos error: Service 'HTTP@ipa-replica-1.EXAMPLE.COM' not found in Kerberos database/<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">And those replicas also show up in 'ipa-replica-manage list' and 'ipa-csreplica-manage list' but not if I then try to remove them via 'ipa-replica-manage del <replica-name>'.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">The crucial issues before me are<o:p></o:p></span></p>
<p class="MsoListParagraph" style="text-indent:-.25in;mso-list:l0 level1 lfo1"><![if !supportLists]><span style="font-size:11.0pt"><span style="mso-list:Ignore">1)<span style="font:7.0pt "Times New Roman"">      
</span></span></span><![endif]><span style="font-size:11.0pt">How do we restore WebUI login ability to the restored users, and<o:p></o:p></span></p>
<p class="MsoListParagraph" style="text-indent:-.25in;mso-list:l0 level1 lfo1"><![if !supportLists]><span style="font-size:11.0pt"><span style="mso-list:Ignore">2)<span style="font:7.0pt "Times New Roman"">      
</span></span></span><![endif]><span style="font-size:11.0pt">How do we restore DNS service for the restored DNS records in LDAP?<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">Best regards,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">Dan<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal" style="text-autospace:none"><a href="http://www.high5games.com/"><span style="font-size:18.0pt;font-family:"Times New Roman";color:blue;text-decoration:none"><img border="0" width="220" height="50" id="_x0000_i1025" src="cid:image001.jpg@01D1C4AC.42E52EB0"></span></a><span style="font-size:15.0pt"><o:p></o:p></span></p>
<p class="MsoNormal" style="text-autospace:none"><b>Daniel Alex Finkelstein</b>| Lead Dev Ops Engineer<o:p></o:p></p>
<p class="MsoNormal" style="text-autospace:none"><u><span style="color:blue"><a href="mailto:Dan.Finkelstein@h5g.com"><span style="color:blue">Dan.Finkelstein@h5g.com</span></a></span></u> | 212.604.3447<span style="font-size:15.0pt"><o:p></o:p></span></p>
<p class="MsoNormal" style="text-autospace:none"><span style="font-size:10.0pt">One World Trade Center, New York, NY 10007<o:p></o:p></span></p>
<p class="MsoNormal" style="text-autospace:none"><span style="font-size:10.0pt"><a href="http://www.high5games.com/"><span style="color:blue">www.high5games.com</span></a><o:p></o:p></span></p>
<p class="MsoNormal" style="text-autospace:none"><span style="font-size:10.0pt">Play
<a href="https://apps.facebook.com/highfivecasino/"><span style="color:blue">High 5 Casino</span></a> and
<a href="https://apps.facebook.com/shakethesky/"><span style="color:blue">Shake the Sky</span></a><o:p></o:p></span></p>
<p class="MsoNormal" style="text-autospace:none"><span style="font-size:10.0pt">Follow us on: <a href="http://www.facebook.com/high5games"><span style="color:blue">Facebook</span></a>, <a href="https://twitter.com/High5Games"><span style="color:blue">Twitter</span></a>, <a href="http://www.youtube.com/High5Games"><span style="color:blue">YouTube</span></a>, <a href="http://www.linkedin.com/company/1072533?trk=tyah"><span style="color:blue">Linkedin</span></a><o:p></o:p></span></p>
<p class="MsoNormal"><i><span style="font-size:10.0pt"><o:p> </o:p></span></i></p>
<p class="MsoNormal"><i><span style="font-size:10.0pt">This message and any attachments may contain confidential or privileged information and are only for the use of the intended recipient of this message. If you are not the intended recipient, please notify
 the sender by return email, and delete or destroy this and all copies of this message and all attachments. Any unauthorized disclosure, use, distribution, or reproduction of this message or any attachments is prohibited and may be unlawful.</span></i><o:p></o:p></p>
</div>
</body>
</html>