Eu adicionei um usuário a um grupo no LDAP. O usuário aparece no ldapsearch. No entanto, o usuário não aparece quando eu listo os membros do grupo na minha instância do RHEL usando getent group my_group .
Estou correto em assumir que isso acontece porque o SSSD armazena em cache a associação ao grupo?
Quando tento limpar o cache do SSSD para o grupo, ele não faz nada:
# sss_cache -d LDAP -g my_group
(Mon Dec 14 10:40:41:816191 2015) [sss_cache] [confdb_get_domain_internal] (0x0010): Unknown domain [LOCAL]
(Mon Dec 14 10:40:41:816364 2015) [sss_cache] [confdb_get_domains] (0x0010): Error (2 [No such file or directory]) retrieving domain [LOCAL], skipping!
# echo $?
0
Especificamente, o usuário ainda não aparece na listagem getent group my_group .
Por que está procurando um domínio "LOCAL" quando especifiquei o domínio "LDAP" no comando?
Aqui está a configuração do SSSD
# cat /etc/sssd/sssd.conf
[sssd]
config_file_version = 2
reconnection_retries = 3
sbus_timeout = 30
services = nss, pam
domains = LOCAL,LDAP
debug_level = 5
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
entry_cache_timeout = 300
entry_cache_nowait_percentage = 75
[pam]
reconnection_retries = 3
offline_credentials_expiration = 2
offline_failed_login_attempts = 3
offline_failed_login_delay = 5
[domain/LDAP]
cache_credentials = true
id_provider = ldap
auth_provider = ldap
ldap_uri = ldaps://my_hostname.my_domain.com
ldap_search_base = dc=my_domain,dc=com
ldap_id_use_start_tls = true
ldap_tls_reqcert = never
ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt
debug_level = 5
-
Este é um bug em sss_cache ?
-
Devo apenas rm -f /var/lib/sss/db/cache_LDAP.ldb ?
-
Nesse momento, devo definir apenas cache_credentials = false em sssd.conf ?