<div dir="ltr"><div>Look like our issue is discussed here, and <b>is </b><span style="color:rgb(0,0,0)"><b>missing one or more memberPrincipal</b>.</span></div><div><span style="color:rgb(0,0,0)"><br></span></div><a href="https://www.redhat.com/archives/freeipa-users/2013-April/msg00228.html">https://www.redhat.com/archives/freeipa-users/2013-April/msg00228.html</a><div><br></div><div>When I tried to add the Principal, I'm getting error, </div><div><br></div><div><div><br></div><div>[root@ipa01 ~]# kadmin.local</div><div>Authenticating as principal admin/<a href="mailto:admin@TELOIP.NET">admin@TELOIP.NET</a> with password.</div><div>kadmin.local:  addprinc -randkey HTTP/<a href="mailto:ipa02.teloip.net@TELOIP.NET">ipa02.teloip.net@TELOIP.NET</a></div><div>WARNING: no policy specified for HTTP/<a href="mailto:ipa02.teloip.net@TELOIP.NET">ipa02.teloip.net@TELOIP.NET</a>; defaulting to no policy</div><div>add_principal: Principal or policy already exists while creating "HTTP/<a href="mailto:ipa02.teloip.net@TELOIP.NET">ipa02.teloip.net@TELOIP.NET</a>"</div><div><br></div><div>[root@ipa01 ~]# kadmin.local</div><div>Authenticating as principal admin/<a href="mailto:admin@TELOIP.NET">admin@TELOIP.NET</a> with password.</div><div>kadmin.local:  addprinc -randkey ldap/<a href="mailto:ipa02.teloip.net@TELOIP.NET">ipa02.teloip.net@TELOIP.NET</a></div><div>WARNING: no policy specified for ldap/<a href="mailto:ipa02.teloip.net@TELOIP.NET">ipa02.teloip.net@TELOIP.NET</a>; defaulting to no policy</div><div>add_principal: Principal or policy already exists while creating "ldap/<a href="mailto:ipa02.teloip.net@TELOIP.NET">ipa02.teloip.net@TELOIP.NET</a>".</div></div><div><br></div><div>Could you please help us to fix the "<b>KDC returned error string: NOT_ALLOWED_TO_DELEGATE</b>" error?</div><div><br></div><div><br></div><div><div>[root@caer ~]# kadmin.local</div><div>Authenticating as principal admin/<a href="mailto:admin@TELOIP.NET">admin@TELOIP.NET</a> with password.</div><div>kadmin.local:  addprinc -randkey HTTP/<a href="mailto:neit.teloip.net@TELOIP.NET">neit.teloip.net@TELOIP.NET</a></div><div>WARNING: no policy specified for HTTP/<a href="mailto:neit.teloip.net@TELOIP.NET">neit.teloip.net@TELOIP.NET</a>; defaulting to no policy</div><div>add_principal: Principal or policy already exists while creating "HTTP/<a href="mailto:neit.teloip.net@TELOIP.NET">neit.teloip.net@TELOIP.NET</a>"</div></div><div><br></div><div><br></div><div><div><br></div><div><br></div><div class="gmail_extra"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr"><div style="background-color:rgb(255,255,255)"><ul style="margin:0px;padding:0px 0px 8px;border:0px;outline:0px;font-size:12px;font-family:Helvetica,FreeSans,"Liberation Sans",Helmet,Arial,sans-serif;vertical-align:baseline;list-style:none;line-height:17px;display:table-cell;width:504px;color:rgb(51,51,51)"><div style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;line-height:normal"><br></div></ul></div></div></div></div></div>
<br><div class="gmail_quote">On Tue, Aug 16, 2016 at 7:58 AM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 08/16/2016 09:25 AM, Petr Spacek wrote:<br>
<span class="">> On 15.8.2016 20:18, Linov Suresh wrote:<br>
>> We have IPA replica set up in RHEL 6.4 and is FreeIPA 3.0.0<br>
>><br>
>><br>
>> We can only add the clients from IPA Server 01, not from IPA Server 02.<br>
>> When I tried to add the client from IPA Server 02, getting the error,<br>
>><br>
>><br>
>> ipa: ERROR: Insufficient access: SASL(-1): generic failure: GSSAPI Error:<br>
>> Unspecified GSS failure.  Minor code may provide more information (KDC<br>
>> returned error string: NOT_ALLOWED_TO_DELEGATE)<br>
>><br>
>> SASL/GSSAPI authentication started<br>
>><br>
>> SASL username: <a href="mailto:vpham@EXAMPLE.NET">vpham@EXAMPLE.NET</a><br>
>><br>
>> SASL SSF: 56<br>
>><br>
>> SASL data security layer installed.<br>
>><br>
>> ldap_modify: No such object (32)<br>
>><br>
>>         additional info: Range Check error<br>
>><br>
>> modifying entry "fqdn=<a href="http://cpe-5061747522f9.example.net" rel="noreferrer" target="_blank">cpe-5061747522f9.<wbr>example.net</a><br>
>> ,cn=computers,cn=accounts,dc=<wbr>example,dc=net"<br>
>><br>
>><br>
>> Could you please help us to fix this?<br>
><br>
</span>> We need to see exact steps you did before we can give you any meaningful advice.<br>
><br>
> Please have a look at<br>
> <a href="http://www.chiark.greenend.org.uk/~sgtatham/bugs.html" rel="noreferrer" target="_blank">http://www.chiark.greenend.<wbr>org.uk/~sgtatham/bugs.html</a><br>
><br>
> It is a very nice document which describes general bug reporting procedure and<br>
> best practices.<br>
><br>
> We will certainly have a look but we need first see the information :-)<br>
><br>
<br>
Also, using IPA on RHEL-6.4 is discouraged. This is a really old release and<br>
there are known issues (in cert renewals for example). Using at least RHEL-6.8<br>
or, even better, RHEL-7.2 is preferred and would help you avoid known issues<br>
and deficiencies (and the newer FreeIPA versions are way cooler anyway).<br>
</blockquote></div><br></div></div></div>