muda para a participação no grupo de domínios não mostrada para o usuário no SLES 11 SP3

1

Servidor associado linux02 executando o service pack 3 do SUSE enterprise linux server em um domínio de diretório ativo do Windows example.com sem problemas.

Usuários, como fred do domínio, podem fazer login sem problemas via ssh EXAMPLE\[email protected]

Quando conectado como usuário do domínio, o comando groups em execução mostra todos os grupos de domínio sem problemas.

Logout fred e reinicialização linux02

No controlador de domínio do Windows, faça fred um membro do grupo linux_sudoers

fred efetua login no comando linux02 e executa groups , mas somente todos os grupos antigos são exibidos. Problema: fred não parece ser um membro de linux_sudoers

Agora, ao executar wbinfo --group-info=EXAMPLE\linux_sudoers , baixo, eis que ele parece ser um membro:
EXAMPLE\linux_sudoers:x:10073:EXAMPLE\fred
Mas ao executar groups novamente, o novo grupo ainda não está na lista.

Agora, de volta ao controlador de domínio do Windows, eu crio um novo usuário john e faço dele um membro de linux_sudoers

john agora pode efetuar login no linux02 sem problemas, e quando executar o comando groups mostra que ele é membro de linux_sudoers

Testes subsequentes mostram que um usuário está essencialmente bloqueado nos membros do grupo de domínio que existiam no momento do primeiro login para linux02 e que nenhuma alteração do domínio jamais refletirá, independentemente de fazer logout ou mesmo de reinicializar o servidor. Estou sem ideias. Alguma dica aí fora?

Resposta:

@ David King estava certo! Especificamente, eu precisava executar esses comandos:

service smbfs stop
service winbind stop
rm -rf /var/lib/samba/*tdb

Eu não tenho arquivos em / var / cache / samba /

service smbfs start
service winbind start

Conectado com fred e executado groups e com certeza ele é mostrado como membro de linux_sudoers

Obrigado @ David King !

    
por Jeff Puckett 18.12.2015 / 21:43

1 resposta

2

A questão é um tempo limite. O Linux está armazenando em cache as associações do grupo e não as renovando até que o tempo limite expire. É super chato. A parte ainda mais irritante é que a única maneira que encontrei para forçá-lo a atualizar é excluir os caches

/etc/init.d/samba stop
rm -rf /var/cache/samba/* /var/lib/samba/*tdb
/etc/init.d samba start

Eu não uso o SLES, então talvez seja necessário ajustar isso para ajustar como o SLES inicia / interrompe os serviços, mas o importante a ser observado é que o samba e o winbind devem ser interrompidos quando você excluir o caches.

    
por 18.12.2015 / 21:49