sss_cache continua procurando por um domínio LOCAL, não limpando registros LDAP

1

Eu adicionei um usuário a um grupo no LDAP. O usuário aparece no ldapsearch. No entanto, o usuário não aparece quando eu listo os membros do grupo na minha instância do RHEL usando getent group my_group .

Estou correto em assumir que isso acontece porque o SSSD armazena em cache a associação ao grupo?

Quando tento limpar o cache do SSSD para o grupo, ele não faz nada:

# sss_cache -d LDAP -g my_group
(Mon Dec 14 10:40:41:816191 2015) [sss_cache] [confdb_get_domain_internal] (0x0010): Unknown domain [LOCAL]
(Mon Dec 14 10:40:41:816364 2015) [sss_cache] [confdb_get_domains] (0x0010): Error (2 [No such file or directory]) retrieving domain [LOCAL], skipping!
# echo $?
0

Especificamente, o usuário ainda não aparece na listagem getent group my_group .

Por que está procurando um domínio "LOCAL" quando especifiquei o domínio "LDAP" no comando?

Aqui está a configuração do SSSD

# cat /etc/sssd/sssd.conf
[sssd]
config_file_version = 2
reconnection_retries = 3
sbus_timeout = 30
services = nss, pam
domains = LOCAL,LDAP
debug_level = 5

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
entry_cache_timeout = 300
entry_cache_nowait_percentage = 75

[pam]
reconnection_retries = 3
offline_credentials_expiration = 2
offline_failed_login_attempts = 3
offline_failed_login_delay = 5

[domain/LDAP]
cache_credentials = true

id_provider = ldap
auth_provider = ldap

ldap_uri = ldaps://my_hostname.my_domain.com
ldap_search_base = dc=my_domain,dc=com
ldap_id_use_start_tls = true
ldap_tls_reqcert = never
ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt

debug_level = 5
  1. Este é um bug em sss_cache ?

  2. Devo apenas rm -f /var/lib/sss/db/cache_LDAP.ldb ?

  3. Nesse momento, devo definir apenas cache_credentials = false em sssd.conf ?

por Leons 14.12.2015 / 19:11

1 resposta

0

  1. Não acho que seja um bug em sss_cache , sua configuração faz referência a um domínio chamado LOCAL , mas o domínio não está definido. Basta soltar LOCAL da linha domains e tentar novamente.

  2. Isso é diferente. sss_cache funciona definindo o registro de data e hora de expiração para o passado. Isso força a pesquisa na próxima vez, mas não remove as entradas completamente, então elas ainda estão por aí para os casos em que o cliente ficaria offline

  3. Isso realmente depende se você deseja permitir que seus usuários efetuem login enquanto a conexão com o servidor é perdida.

por 16.12.2015 / 11:14