Я добавил пользователя в группу в LDAP. Пользователь появляется в ldapsearch. Однако пользователь не отображается, когда я перечисляю членов группы в моем экземпляре RHEL, используя getent group my_group
.
Правильно ли я предполагаю, что это связано с тем, что SSSD кэширует членство в группах?
Когда я пытаюсь очистить кеш SSSD для группы, он ничего не делает:
# sss_cache -d LDAP -g my_group
(Mon Dec 14 10:40:41:816191 2015) [sss_cache] [confdb_get_domain_internal] (0x0010): Unknown domain [LOCAL]
(Mon Dec 14 10:40:41:816364 2015) [sss_cache] [confdb_get_domains] (0x0010): Error (2 [No such file or directory]) retrieving domain [LOCAL], skipping!
# echo $?
0
В частности, пользователь по-прежнему не отображается в getent group my_group
листинг.
Почему он ищет «ЛОКАЛЬНЫЙ» домен, когда я указал в команде домен «LDAP»?
Вот конфигурация SSSD
# cat /etc/sssd/sssd.conf
[sssd]
config_file_version = 2
reconnection_retries = 3
sbus_timeout = 30
services = nss, pam
domains = LOCAL,LDAP
debug_level = 5
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
entry_cache_timeout = 300
entry_cache_nowait_percentage = 75
[pam]
reconnection_retries = 3
offline_credentials_expiration = 2
offline_failed_login_attempts = 3
offline_failed_login_delay = 5
[domain/LDAP]
cache_credentials = true
id_provider = ldap
auth_provider = ldap
ldap_uri = ldaps://my_hostname.my_domain.com
ldap_search_base = dc=my_domain,dc=com
ldap_id_use_start_tls = true
ldap_tls_reqcert = never
ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt
debug_level = 5
Это ошибка в sss_cache
?
Я должен просто rm -f /var/lib/sss/db/cache_LDAP.ldb
вместо?
В этот момент я должен просто установить cache_credentials = false
в sssd.conf
?
Я не думаю, что это ошибка sss_cache
, ваша конфигурация ссылается на домен с именем LOCAL
, пока домен не определен. Просто брось LOCAL
из domains
линия и попробуйте еще раз ..
Это другое. sss_cache
работает, устанавливая метку времени истечения в прошлое. Это вызывает поиск в следующий раз, но не удаляет записи полностью, поэтому они все еще доступны для случаев, когда клиент перейдет в автономный режим.
Это действительно зависит от того, хотите ли вы разрешить своим пользователям входить в систему, когда соединение с сервером потеряно.