LDAP no se actualizará si existen datos en caché
https://stackoverflow.com/questions/436976
-
22-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Tenemos un cliente SELinux que autentica a los usuarios de la red mediante LDAP que se conecta a un servidor de Active Directory. Dado que nuestras máquinas tienen que operar "sin ataduras", tenemos que usar nscd para almacenar en caché el grupo y la información de contraseña.
Aquí está el problema. Si cambiamos la información del grupo en el servidor de Active Directory, luego iniciamos sesión en el cliente, si existe un caché para ese usuario, LDAP parece ignorar el servidor y solo usa los datos en caché. La única forma en que hemos podido obtener una actualización es invalidar el caché passwd.
Porción significativa de /etc/nsswitch.conf:
passwd: file ldap cache
group: file ldap cache
shadow: file ldap cache
Gracias.
Actualización: Descubrí ejecutando strace getent passwd que el caché nscd se verifica antes de que /etc/nsswitch.conf se lea, por lo que la configuración de nss no importa.
Actualización 2: Jugar con nss_updatedb hoy para ver si funcionará. Hasta ahora no hay alegría, aunque este tutorial se ve exactamente como lo que tenemos que hacer.
Solución 2
Finalmente resolvimos esto usando nss_updatedb para almacenar en caché el grupo y las bases de datos passwd localmente. Luego apagamos nscd.
Agregamos el módulo pam_exec a la lista pam.d y lo usamos para ejecutar nss_updatedb antes de la autenticación para asegurarnos de que el caché local esté actualizado.
Otros consejos
Si no desea almacenar en caché los resultados del directorio activo, debe desactivar nscd o establecer el tiempo de vida de la caché en unos minutos (edite /etc/nscd.conf). Creo que el tiempo de vida predeterminado es de 10 minutos para passwd y hora para el grupo.
Puede vaciar fácilmente el caché nscd con los siguientes comandos:
sudo nscd -i passwd
sudo nscd -i group
Después de vaciar la memoria caché nscd con los comandos dados, verá datos LDAP modificados.
Para más detalles, consulte: http://sysadmin-notepad.blogspot.rs/2013/05/how-to-flush-nscd-cache-in-linux.html
