Назад | Перейти на главную страницу

sss_cache продолжает искать ЛОКАЛЬНЫЙ домен, не очищая записи LDAP

Я добавил пользователя в группу в LDAP. Пользователь появляется в ldapsearch. Однако пользователь не отображается, когда я перечисляю членов группы в моем экземпляре RHEL, используя getent group my_group.

Правильно ли я предполагаю, что это связано с тем, что SSSD кэширует членство в группах?

Когда я пытаюсь очистить кеш SSSD для группы, он ничего не делает:

# sss_cache -d LDAP -g my_group
(Mon Dec 14 10:40:41:816191 2015) [sss_cache] [confdb_get_domain_internal] (0x0010): Unknown domain [LOCAL]
(Mon Dec 14 10:40:41:816364 2015) [sss_cache] [confdb_get_domains] (0x0010): Error (2 [No such file or directory]) retrieving domain [LOCAL], skipping!
# echo $?
0

В частности, пользователь по-прежнему не отображается в getent group my_group листинг.

Почему он ищет «ЛОКАЛЬНЫЙ» домен, когда я указал в команде домен «LDAP»?

Вот конфигурация SSSD

# cat /etc/sssd/sssd.conf
[sssd]
config_file_version = 2
reconnection_retries = 3
sbus_timeout = 30
services = nss, pam
domains = LOCAL,LDAP
debug_level = 5

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
entry_cache_timeout = 300
entry_cache_nowait_percentage = 75

[pam]
reconnection_retries = 3
offline_credentials_expiration = 2
offline_failed_login_attempts = 3
offline_failed_login_delay = 5

[domain/LDAP]
cache_credentials = true

id_provider = ldap
auth_provider = ldap

ldap_uri = ldaps://my_hostname.my_domain.com
ldap_search_base = dc=my_domain,dc=com
ldap_id_use_start_tls = true
ldap_tls_reqcert = never
ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt

debug_level = 5
  1. Это ошибка в sss_cache?

  2. Я должен просто rm -f /var/lib/sss/db/cache_LDAP.ldb вместо?

  3. В этот момент я должен просто установить cache_credentials = false в sssd.conf?

  1. Я не думаю, что это ошибка sss_cache, ваша конфигурация ссылается на домен с именем LOCAL, пока домен не определен. Просто брось LOCAL из domains линия и попробуйте еще раз ..

  2. Это другое. sss_cache работает, устанавливая метку времени истечения в прошлое. Это вызывает поиск в следующий раз, но не удаляет записи полностью, поэтому они все еще доступны для случаев, когда клиент перейдет в автономный режим.

  3. Это действительно зависит от того, хотите ли вы разрешить своим пользователям входить в систему, когда соединение с сервером потеряно.