Hi, Sumit<br><br>Thanks for your reply<br><br>I have tried. still failed<br><br># cat /etc/openldap/ldap.conf  | grep -v ^#<br><br>URI ldap://ipaslave.stg.example.net<br>BASE dc=example,dc=net<br>TLS_CACERT /etc/ipa/ca.crt<br>SASL_MECH GSSAPI<br>TLS_REQCERT allow<br>SASL_NOCANON on<br><div><div><br></div><div># cat /etc/krb5.conf| grep rdns<br>  rdns = false<br><br>Matrix<br></div><div style="font-size: 12px;font-family: Arial Narrow;padding:2px 0 2px 0;">------------------ Original ------------------</div><div style="font-size: 12px;background:#efefef;padding:8px;"><div><b>From: </b> "Sumit Bose";<sbose@redhat.com>;</div><div><b>Date: </b> Thu, Nov 10, 2016 06:32 PM</div><div><b>To: </b> "freeipa-users"<freeipa-users@redhat.com>; <wbr></div><div></div><div><b>Subject: </b> Re: [Freeipa-users] sssd failed with 'ldap_sasl_bind failed(-2)[Localerror]'</div></div><div><br></div>On Thu, Nov 10, 2016 at 05:22:26PM +0800, Matrix wrote:<br>> debug steps have been tried: <br>> <br>> 1 kinit is workable: <br>> # /usr/kerberos/bin/kinit -k host/client02.stg.example.net@EXAMPLE.NET<br>> <br>> # /usr/kerberos/bin/klist<br>> Ticket cache: FILE:/tmp/krb5cc_0<br>> Default principal: host/client02.stg.example.net@EXAMPLE.NET<br>> <br>> Valid starting     Expires            Service principal<br>> 11/10/16 09:18:00  11/11/16 09:17:35  krbtgt/EXAMPLE.NET@EXAMPLE.NET<br>> <br>> Kerberos 4 ticket cache: /tmp/tkt0<br>> klist: You have no tickets cached<br>> <br>> 2 ldapwhoami with krb auth failed. <br>> <br>> # ldapwhoami -Y GSSAPI -h ipaslave.stg.example.net<br>> SASL/GSSAPI authentication started<br>> ldap_sasl_interactive_bind_s: Local error (-2)<br>>         additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Mutual authentication failed)<br>> <br><br>Have you made sure that canonicalizing is disabled, i.e.<br>/etc/krb5.conf: <br>[libdefaults]<br> ...<br> rdns = false<br> ...<br><br>/etc/openldap/ldap.conf<br>...<br>SASL_NOCANON    on<br>...<br><br>HTH<br><br>bye,<br>Sumit<br><br>> <br>> Matrix<br>> <br>> ------------------ Original ------------------<br>> From:  "Matrix";<matrix.zj@qq.com>;<br>> Date:  Thu, Nov 10, 2016 02:11 PM<br>> To:  "freeipa-users"<freeipa-users@redhat.com>; <br>> <br>> Subject:  [Freeipa-users] sssd failed with 'ldap_sasl_bind failed (-2)[Localerror]'<br>> <br>> <br>> <br>> Hi, <br>> <br>> I have installed sssd in a RHEL5 client. <br>> <br>> ipa-client/sssd version:<br>> ipa-client-2.1.3-7.el5<br>> sssd-client-1.5.1-71.el5<br>> sssd-1.5.1-71.el5<br>> <br>> sssd failed to get ipa user info with 'ldap_sasl_bind failed (-2)[Local error]'. <br>> <br>> (Thu Nov 10 05:52:45 2016) [sssd[be[stg.example.net]]] [sasl_bind_send] (4): Executing sasl bind mech: GSSAPI, user: host/client02.stg.example.net<br>> (Thu Nov 10 05:52:45 2016) [sssd[be[stg.example.net]]] [sasl_bind_send] (1): ldap_sasl_bind failed (-2)[Local error]<br>> (Thu Nov 10 05:52:45 2016) [sssd[be[stg.example.net]]] [child_sig_handler] (7): Waiting for child [11117].<br>> (Thu Nov 10 05:52:45 2016) [sssd[be[stg.example.net]]] [child_sig_handler] (4): child [11117] finished successfully.<br>> <br>> I have tried to google to find root cause. some link explained it should be something wrong with dns. I have double confirmed it. <br>> <br>> # nslookup client02.stg.example.net<br>> Server:         10.2.1.21<br>> Address:        10.2.1.21#53<br>> <br>> Name:   client02.stg.example.net<br>> Address: 10.2.3.32<br>> <br>> <br>> # nslookup 10.2.3.32<br>> Server:         10.2.1.21<br>> Address:        10.2.1.21#53<br>> <br>> 32.3.2.10.in-addr.arpa  name = client02.stg.example.net.<br>> <br>> <br>> # nslookup ipaslave.stg.example.net<br>> Server:         10.2.1.21<br>> Address:        10.2.1.21#53<br>> <br>> Name:   ipaslave.stg.example.net<br>> Address: 10.2.1.250<br>> <br>> # nslookup 10.2.1.250<br>> Server:         10.2.1.21<br>> Address:        10.2.1.21#53<br>> <br>> 250.1.2.10.in-addr.arpa name = ipaslave.stg.example.net.<br>> <br>> Any hints or troubleshooting ideas would be appreciated. <br>> <br>> Matrix<br><br>> -- <br>> Manage your subscription for the Freeipa-users mailing list:<br>> https://www.redhat.com/mailman/listinfo/freeipa-users<br>> Go to http://freeipa.org for more info on the project<br><br>-- <br>Manage your subscription for the Freeipa-users mailing list:<br>https://www.redhat.com/mailman/listinfo/freeipa-users<br>Go to http://freeipa.org for more info on the project</div>