LDAP wird nicht aktualisiert, wenn Daten im Cache vorhanden
-
22-07-2019 - |
Frage
Wir haben einen SELinux-Client, die Netzwerk-Benutzer über LDAP Verbindung zu einem Active Directory-Server authentifiziert. Da unsere Maschinen arbeiten müssen „untethered“ müssen wir nscd verwenden Gruppe und passwd Informationen cachen.
Hier ist das Problem. Wenn wir Gruppeninformationen auf dem Active Directory-Server zu ändern, melden Sie sich dann auf dem Client in, wenn ein Cache für diesen Benutzer existiert, LDAP scheint, den Server zu ignorieren und nur die im Cache gespeicherten Daten verwenden. Der einzige Weg, wir sind in der Lage, ein Update zu erhalten, ist den passwd-Cache ungültig zu machen.
wesentliche Teile /etc/nsswitch.conf:
passwd: file ldap cache group: file ldap cache shadow: file ldap cache
Danke.
Update:. Herausgefunden strace getent passwd
ausgeführt wird, die nscd Cache überprüft wird, bevor /etc/nsswitch.conf gelesen wird, so dass die Konfiguration von NSS keine Rolle spielt
Update 2: Das Spiel mit nss_updatedb heute um zu sehen, ob es funktionieren wird. Bisher keine Freude, obwohl dieses Howto wie genau sieht, was wir tun müssen.
Lösung 2
Wir können das endlich gelöst durch nss_updatedb mit der Gruppe und passwd Datenbanken lokal zwischenzuspeichern. Wir dann ausgeschaltet nscd.
Wir haben das pam_exec Modul zum pam.d Liste und verwenden Sie es vor der Authentifizierung auszuführen nss_updatedb in dem lokalen Cache auf dem neuesten Stand stellen Sie sicher ist.
Andere Tipps
Wenn Sie wollen keine Anzeigen aus dem aktiven Verzeichnis-Cache dann müssen Sie entweder deaktivieren nscd oder setzen Sie den Cache Lebenszeit auf wenige Minuten (edit /etc/nscd.conf). Ich glaube, dass die Standard-Zeit zu leben 10 Minuten für die passwd und und Stunde für die Gruppe.
Sie können leicht bündig nscd Cache mit folgenden Befehle ein:
sudo nscd -i passwd
sudo nscd -i group
Nach nscd Cache mit bestimmten Befehlen Spülung würden Sie geändertene LDAP-Daten sehen.
Weitere Informationen finden Sie unter: http://sysadmin-notepad.blogspot.rs/2013/05/how-to-flush-nscd-cache-in-linux.html