LDAP wird nicht aktualisiert, wenn Daten im Cache vorhanden

StackOverflow https://stackoverflow.com/questions/436976

Frage

Wir haben einen SELinux-Client, die Netzwerk-Benutzer über LDAP Verbindung zu einem Active Directory-Server authentifiziert. Da unsere Maschinen arbeiten müssen „untethered“ müssen wir nscd verwenden Gruppe und passwd Informationen cachen.

Hier ist das Problem. Wenn wir Gruppeninformationen auf dem Active Directory-Server zu ändern, melden Sie sich dann auf dem Client in, wenn ein Cache für diesen Benutzer existiert, LDAP scheint, den Server zu ignorieren und nur die im Cache gespeicherten Daten verwenden. Der einzige Weg, wir sind in der Lage, ein Update zu erhalten, ist den passwd-Cache ungültig zu machen.

wesentliche Teile /etc/nsswitch.conf: 

    passwd: file ldap cache
    group:  file ldap cache
    shadow: file ldap cache

Danke.

Update:. Herausgefunden strace getent passwd ausgeführt wird, die nscd Cache überprüft wird, bevor /etc/nsswitch.conf gelesen wird, so dass die Konfiguration von NSS keine Rolle spielt

Update 2: Das Spiel mit nss_updatedb heute um zu sehen, ob es funktionieren wird. Bisher keine Freude, obwohl dieses Howto wie genau sieht, was wir tun müssen.

War es hilfreich?

Lösung 2

Wir können das endlich gelöst durch nss_updatedb mit der Gruppe und passwd Datenbanken lokal zwischenzuspeichern. Wir dann ausgeschaltet nscd.

Wir haben das pam_exec Modul zum pam.d Liste und verwenden Sie es vor der Authentifizierung auszuführen nss_updatedb in dem lokalen Cache auf dem neuesten Stand stellen Sie sicher ist.

Andere Tipps

Wenn Sie wollen keine Anzeigen aus dem aktiven Verzeichnis-Cache dann müssen Sie entweder deaktivieren nscd oder setzen Sie den Cache Lebenszeit auf wenige Minuten (edit /etc/nscd.conf). Ich glaube, dass die Standard-Zeit zu leben 10 Minuten für die passwd und und Stunde für die Gruppe.

Sie können leicht bündig nscd Cache mit folgenden Befehle ein: 

sudo nscd -i passwd
sudo nscd -i group

Nach nscd Cache mit bestimmten Befehlen Spülung würden Sie geändertene LDAP-Daten sehen.

Weitere Informationen finden Sie unter: http://sysadmin-notepad.blogspot.rs/2013/05/how-to-flush-nscd-cache-in-linux.html

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top