LDAP ne se mettra pas à jour s'il existe des données en cache
https://stackoverflow.com/questions/436976
-
22-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Nous avons un client SELinux qui authentifie les utilisateurs du réseau à l’aide de la connexion LDAP à un serveur Active Directory. Puisque nos machines doivent fonctionner "sans attache", nous devons utiliser nscd pour mettre en cache les informations de groupe et de mot de passe.
Voici le problème. Si nous modifions les informations de groupe sur le serveur Active Directory, puis connectons-nous au client. Si un cache existe pour cet utilisateur, LDAP semble ignorer le serveur et utiliser uniquement les données mises en cache. La seule façon d'obtenir une mise à jour est d'invalider le cache passwd.
Partie significative de /etc/nsswitch.conf:
passwd: file ldap cache
group: file ldap cache
shadow: file ldap cache
Merci.
Mise à jour: Nous avons découvert que passait par mot de passe que le cache nscd était vérifié avant que le fichier /etc/nsswitch.conf ne soit lu, donc la configuration de nss importait peu.
Mise à jour 2: Jouez avec nss_updatedb aujourd'hui pour voir si cela fonctionnera. Pas de joie jusqu'à présent, bien que ce guide ressemble exactement à ce que nous devons faire.
La solution 2
Nous avons finalement résolu ce problème en utilisant nss_updatedb pour mettre en cache localement les bases de données group et passwd. Nous avons ensuite désactivé nscd.
Nous avons ajouté le module pam_exec à la liste pam.d et l'utilisons pour exécuter nss_updatedb avant l'authentification afin de nous assurer que le cache local est à jour.
Autres conseils
Si vous ne souhaitez pas mettre en cache les résultats de Active Directory, vous devez soit désactiver nscd, soit définir sa durée de vie de cache à quelques minutes (modifiez /etc/nscd.conf). Je crois que la durée de vie par défaut est de 10 minutes pour le mot de passe et d’une heure pour le groupe.
Vous pouvez facilement vider le cache nscd avec les commandes suivantes:
sudo nscd -i passwd
sudo nscd -i group
Après avoir vidé le cache nscd avec certaines commandes, les données LDAP modifiées seraient affichées.
Pour plus de détails, voir: http://sysadmin-notepad.blogspot.rs/2013/05/how-to-flush-nscd-cache-in-linux.html
