<div dir="ltr">We have FreeIPA 3.0.0 running on CentOS 6.4 and master-ipa01 (configured with --setup-ca option) and replica- ipa02 (configured without --setup-ca) option. <div><br></div><div><div>We use a script ipa clients to the server, when we tried to add new ipa clients, we are getting error,</div><div><b><br></b></div><div><b>ipa: ERROR: Insufficient access: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (KDC returned error string: NOT_ALLOWED_TO_DELEGATE)</b><br></div><div><br></div><div>What we have noticed is, memberPrincipal: HTTP/<a href="mailto:ipa02.teloip.net@TELOIP.NET">ipa02.teloip.net@TELOIP.NET</a> missing on both master and replica servers</div><div><br></div><div>IPA Master,</div><div><br></div><div><div>[root@ipa01 ~]# ldapsearch -x -b cn=ipa-http-delegation,cn=s4u2proxy,cn=etc,dc=teloip,dc=net</div><div># extended LDIF</div><div>#</div><div># LDAPv3</div><div># base <cn=ipa-http-delegation,cn=s4u2proxy,cn=etc,dc=teloip,dc=net> with scope subtree</div><div># filter: (objectclass=*)</div><div># requesting: ALL</div><div>#</div><div><br></div><div># ipa-http-delegation, s4u2proxy, etc, <a href="http://teloip.net">teloip.net</a></div><div>dn: cn=ipa-http-delegation,cn=s4u2proxy,cn=etc,dc=teloip,dc=net</div><div>objectClass: ipaKrb5DelegationACL</div><div>objectClass: groupOfPrincipals</div><div>objectClass: top</div><div>ipaAllowedTarget: cn=ipa-ldap-delegation-targets,cn=s4u2proxy,cn=etc,dc=teloip,dc=net</div><div>ipaAllowedTarget: cn=ipa-cifs-delegation-targets,cn=s4u2proxy,cn=etc,dc=teloip,dc=net</div><div>memberPrincipal: HTTP/<a href="mailto:ipa01.teloip.net@TELOIP.NET">ipa01.teloip.net@TELOIP.NET</a></div><div>cn: ipa-http-delegation</div><div><br></div><div># search result</div><div>search: 2</div><div>result: 0 Success</div><div><br></div><div># numResponses: 2</div><div># numEntries: 1</div><div>[root@ipa01 ~]#</div></div><div><br></div><div>IPA Replica,</div><div><br></div><div><div>[root@ipa02 /]# ldapsearch -x -b cn=ipa-http-delegation,cn=s4u2proxy,cn=etc,dc=teloip,dc=net</div><div># extended LDIF</div><div>#</div><div># LDAPv3</div><div># base <cn=ipa-http-delegation,cn=s4u2proxy,cn=etc,dc=teloip,dc=net> with scope subtree</div><div># filter: (objectclass=*)</div><div># requesting: ALL</div><div>#</div><div><br></div><div># ipa-http-delegation, s4u2proxy, etc, <a href="http://teloip.net">teloip.net</a></div><div>dn: cn=ipa-http-delegation,cn=s4u2proxy,cn=etc,dc=teloip,dc=net</div><div>cn: ipa-http-delegation</div><div>memberPrincipal: HTTP/<a href="mailto:ipa01.teloip.net@TELOIP.NET">ipa01.teloip.net@TELOIP.NET</a></div><div>ipaAllowedTarget: cn=ipa-ldap-delegation-targets,cn=s4u2proxy,cn=etc,dc=teloip,dc=net</div><div>ipaAllowedTarget: cn=ipa-cifs-delegation-targets,cn=s4u2proxy,cn=etc,dc=teloip,dc=net</div><div>objectClass: ipaKrb5DelegationACL</div><div>objectClass: groupOfPrincipals</div><div>objectClass: top</div><div><br></div><div># search result</div><div>search: 2</div><div>result: 0 Success</div><div><br></div><div># numResponses: 2</div><div># numEntries: 1</div></div><div><br></div><div>Your help is highly appreciated,</div><div><br></div><div>Linov Suresh. </div></div></div>