<html><body><p>Hi Guys..<br><br>   Sorry to bug ya again.. so looks like the selinux packages are not back ported to 7.1 as I only have selinux-policy-3.13.1-23.el7_1.21.noarch as an option<br><br>Setting the contexts manually  to /etc/ipa/nssdb<br><br><br>Original<br>[root@server2 ipa]# ls -dZ nssdb<br>drwxr-xr-x. root root system_u:object_r:etc_t:s0       nssdb<br><br>Set to <br>[root@server2 ipa]# semanage fcontext -a -t cert_t "/etc/ipa/nssdb(/.*)?"<br>[root@server2 ~]# restorecon -FvvR /etc/ipa/nssdb/<br><br>Check for change<br>[root@server2 ~]# ls -dZ /etc/ipa/nssdb<br>drwxr-xr-x. root root system_u:object_r:cert_t:s0      /etc/ipa/nssdb<br><br>I did this.. re-enrolled the box again but still no host cert showing in IPA however I do get a result now from getcert list as seen below.   The install log still shows certmonger failed  .. 2016-11-17T20:05:05Z ERROR certmonger request for host certificate failed.<br><br><br><br><br>getcert list<br>Number of certificates and requests being tracked: 1.<br>Request ID '20161117153721':<br>        status: MONITORING<br>        stuck: no<br>        key pair storage: type=NSSDB,location='/etc/ipa/nssdb',nickname='Local IPA host',token='NSS Certificate DB',pinfile='/etc/ipa/nssdb/pwdfile.txt'<br>        certificate: type=NSSDB,location='/etc/ipa/nssdb',nickname='Local IPA host'<br>        CA: IPA<br>        issuer: <br>        subject: <br>        expires: unknown<br>        pre-save command: <br>        post-save command: <br>        track: yes<br>        auto-renew: yes<br><br>Not seeing anymore selinux issues either<br><br>[root@server2 sudofix]# ausearch -m avc -m user_avc -m selinux_err -i -ts recent<br><no matches><br><br><br><br>Sean Hogan<br>Security Engineer<br>Watson Security & Risk Assurance<br>Watson Cloud Technology and Support<br><font size="2" face="Verdana">email: schogan@us.ibm.com | Tel 919 486 1397</font><br><font size="2" face="Verdana"><br></font><img src="cid:1__=88BB0AFDDFFD50958f9e8a93df938690918c88B@" width="67" height="53" align="top"><font size="2" face="Verdana">  </font><img src="cid:2__=88BB0AFDDFFD50958f9e8a93df938690918c88B@" width="60" height="51" align="top"><br><br><br><br><br><img width="16" height="16" src="cid:3__=88BB0AFDDFFD50958f9e8a93df938690918c88B@" border="0" alt="Inactive hide details for Rob Crittenden ---11/17/2016 09:14:07 AM---Sean Hogan wrote: > Hi Robert,"><font color="#424282">Rob Crittenden ---11/17/2016 09:14:07 AM---Sean Hogan wrote: > Hi Robert,</font><br><br><font size="2" color="#5F5F5F">From:        </font><font size="2">Rob Crittenden <rcritten@redhat.com></font><br><font size="2" color="#5F5F5F">To:        </font><font size="2">Sean Hogan/Durham/IBM@IBMUS</font><br><font size="2" color="#5F5F5F">Cc:        </font><font size="2">freeipa-users@redhat.com, Jakub Hrozek <jhrozek@redhat.com>, Martin Babinsky <mbabinsk@redhat.com></font><br><font size="2" color="#5F5F5F">Date:        </font><font size="2">11/17/2016 09:14 AM</font><br><font size="2" color="#5F5F5F">Subject:        </font><font size="2">Re: [Freeipa-users] Rhel 7 client enroll to Rhel 6 IPA server</font><br><hr width="100%" size="2" align="left" noshade style="color:#8091A5; "><br><br><br><tt>Sean Hogan wrote:<br>> Hi Robert,<br>> <br>> No I did not cut it off ....there was no reason listed.. that was the<br>> last line about the issue.<br>> <br>> I did find this to be my issue however<br>> </tt><tt><a href="https://bugzilla.redhat.com/show_bug.cgi?id=1262718">https://bugzilla.redhat.com/show_bug.cgi?id=1262718</a></tt><tt> ... having our sat<br>> guys see if they can pull the new selinux policy packages as I do not<br>> see them avail right now for my boxes.<br>> <br>> [root@server2 log]# ausearch -m avc -m user_avc -m selinux_err -i -ts recent<br>> ----<br>> type=USER_AVC msg=audit(11/17/2016 10:35:04.074:2502) : pid=1 uid=root<br>> auid=unset ses=unset subj=system_u:system_r:init_t:s0 msg='avc: received<br>> setenforce notice (enforcing=0) exe=/usr/lib/systemd/systemd sauid=root<br>> hostname=? addr=? terminal=?'<br>> ----<br>> type=PATH msg=audit(11/17/2016 10:37:21.803:2543) : item=0<br>> name=/etc/ipa/nssdb inode=16807676 dev=fd:00 mode=dir,755 ouid=root<br>> ogid=root rdev=00:00 obj=system_u:object_r:etc_t:s0 objtype=NORMAL<br>> type=SYSCALL msg=audit(11/17/2016 10:37:21.803:2543) : arch=x86_64<br>> syscall=access success=yes exit=0 a0=0x7fbc870da950 a1=W_OK|R_OK<br>> a2=0x4000 a3=0xfffffffffffff8e8 items=1 ppid=1 pid=2875 auid=unset<br>> uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root<br>> fsgid=root tty=(none) ses=unset comm=certmonger exe=/usr/sbin/certmonger<br>> subj=system_u:system_r:certmonger_t:s0 key=(null)<br>> type=AVC msg=audit(11/17/2016 10:37:21.803:2543) : avc: denied { write }<br>> for pid=2875 comm=certmonger name=nssdb dev="dm-0" ino=16807676<br>> scontext=system_u:system_r:certmonger_t:s0<br>> tcontext=system_u:object_r:etc_t:s0 tclass=dir<br>> ----<br>> type=PATH msg=audit(11/17/2016 10:37:21.866:2544) : item=0<br>> name=/etc/ipa/nssdb/cert8.db inode=16807680 dev=fd:00 mode=file,644<br>> ouid=root ogid=root rdev=00:00 obj=unconfined_u:object_r:etc_t:s0<br>> objtype=NORMAL<br>> type=SYSCALL msg=audit(11/17/2016 10:37:21.866:2544) : arch=x86_64<br>> syscall=open success=yes exit=11 a0=0x7fbc8712a080 a1=O_RDWR a2=0x180<br>> a3=0x0 items=1 ppid=2875 pid=2918 auid=unset uid=root gid=root euid=root<br>> suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=unset<br>> comm=certmonger exe=/usr/sbin/certmonger<br>> subj=system_u:system_r:certmonger_t:s0 key=(null)<br>> type=AVC msg=audit(11/17/2016 10:37:21.866:2544) : avc: denied { write }<br>> for pid=2918 comm=certmonger name=cert8.db dev="dm-0" ino=16807680<br>> scontext=system_u:system_r:certmonger_t:s0<br>> tcontext=unconfined_u:object_r:etc_t:s0 tclass=file<br><br>Good catch, that seems like the issue.<br><br>> [root@server2 log]# rpm -qf /etc/ipa/nssdb<br>> ipa-python-4.1.0-18.el7_1.4.x86_64<br><br>IIRC it is just ghosted, all files should be owned by something.<br><br>> Encryption types.. thanks for the command.. good to know but hate seeing<br>> the arcfour and des options as I know DISA will not like that.<br><br>No DES, Triple DES. You can always remove them if you want, just be<br>aware of interoperability.<br><br>rob<br><br>> <br>> [root@ipa1 ~]# ldapsearch -x -D 'cn=directory manager' -W -s base -b<br>> cn=IPA.LOCAL,cn=kerberos,dc=ipa,dc=local krbSupportedEncSaltTypes<br>> Enter LDAP Password:<br>> # extended LDIF<br>> #<br>> # LDAPv3<br>> # base <cn=IPA.LOCAL,cn=kerberos,dc=ipa,dc=local> with scope baseObject<br>> # filter: (objectclass=*)<br>> # requesting: krbSupportedEncSaltTypes<br>> #<br>> <br>> # IPA.LOCAL, kerberos, ipa.local<br>> dn: cn=IPA.LOCAL,cn=kerberos,dc=ipa,dc=local<br>> krbSupportedEncSaltTypes: aes256-cts:normal<br>> krbSupportedEncSaltTypes: aes256-cts:special<br>> krbSupportedEncSaltTypes: aes128-cts:normal<br>> krbSupportedEncSaltTypes: aes128-cts:special<br>> krbSupportedEncSaltTypes: des3-hmac-sha1:normal<br>> krbSupportedEncSaltTypes: des3-hmac-sha1:special<br>> krbSupportedEncSaltTypes: arcfour-hmac:normal<br>> krbSupportedEncSaltTypes: arcfour-hmac:special<br>> <br>> # search result<br>> search: 2<br>> result: 0 Success<br>> <br>> # numResponses: 2<br>> # numEntries: 1<br>> <br>> <br>> <br>> <br>> Sean Hogan<br>> <br>> <br>> <br>> Inactive hide details for Rob Crittenden ---11/17/2016 07:59:55<br>> AM---Sean Hogan wrote: > Hi Jakub,Rob Crittenden ---11/17/2016 07:59:55<br>> AM---Sean Hogan wrote: > Hi Jakub,<br>> <br>> From: Rob Crittenden <rcritten@redhat.com><br>> To: Sean Hogan/Durham/IBM@IBMUS, Jakub Hrozek <jhrozek@redhat.com><br>> Cc: freeipa-users@redhat.com, Martin Babinsky <mbabinsk@redhat.com><br>> Date: 11/17/2016 07:59 AM<br>> Subject: Re: [Freeipa-users] Rhel 7 client enroll to Rhel 6 IPA server<br>> <br>> ------------------------------------------------------------------------<br>> <br>> <br>> <br>> Sean Hogan wrote:<br>>> Hi Jakub,<br>>><br>>> I ended up re-enrolling the box and it is behaving as expected except I<br>>> am not getting a host cert. Robert indicated auto host cert no longer<br>>> avail with rhel 7 but using the --request -cert option on enroll to get<br>>> a host cert if I wanted one. I did so and get this in the install log<br>>><br>>><br>>> *2016-11-16T22:00:53Z DEBUG Starting external process*<br>>> *2016-11-16T22:00:53Z DEBUG args='/bin/systemctl' 'is-active'<br>>> 'certmonger.service'*<br>>> *2016-11-16T22:00:53Z DEBUG Process finished, return code=0*<br>>> *2016-11-16T22:00:53Z DEBUG stdout=active*<br>>><br>>> *2016-11-16T22:00:53Z DEBUG stderr=*<br>>> *2016-11-16T22:00:53Z ERROR certmonger request for host certificate<br>> failed*<br>> <br>> Did you cut off the reason reported for the request failing?<br>> <br>>> Maybe this is an issue with RHEL 7(4.x) client hitting a RHEL 6 (3.x)<br>>> IPA server?<br>> <br>> You could look in the server logs for details.<br>> <br>>> As for crypto on RHEL 6 IPA I have (if this is what you looking for).<br>>> However this is modified version as it took me a while to get this list<br>>> to pass tenable scans by modding the dse files.<br>>> [root@ipa1 ~]# nmap --script ssl-enum-ciphers -p 636 `hostname`<br>> <br>> These are the TLS settings for LDAP, not the Kerberos encryption types<br>> supported. You instead want to run:<br>> <br>> $ ldapsearch -x -D 'cn=directory manager' -W -s base -b<br>> cn=EXAMPLE.COM,cn=kerberos,dc=example,dc=com krbSupportedEncSaltTypes<br>> <br>> rob<br>> <br>> <br>> <br>> <br><br></tt><br><br><BR>
</body></html>