acho que entendi agora ... precisava adicionar isso
ignore_group_members = true
Duas perguntas:
Depois que eu paro o serviço sssd
e excluo o cache, é normal que ele demore um ou dois minutos antes de poder fazer o login novamente?
Se eu tiver esse valor definido como 7 dias no /etc/sssd/sssd.conf
file "account_cache_expiration = 7"
, levará um ou dois minutos para fazer login novamente se eu não tiver feito login por mais de 7 dias?
acho que entendi agora ... precisava adicionar isso
ignore_group_members = true
Não, não é normal - não deve demorar nem um minuto ou dois para obter uma resposta do servidor de diretório. Um extra segundo ou dois, claro, mas não um minuto ou dois.
Eu acho que o motivo mais provável para adicionar um minuto extra é SSSD está tentando entrar em contato com um servidor de diretório que está em baixo ou não existe mais. Se você estiver usando registros SRV de DNS, verifique se não possui nenhum antigo (apontando para servidores desatribuídos).
Se você aumentar o nível de log no SSSD, ele deverá registrar os tempos limites específicos que estão ocorrendo para ajudá-lo a encontrar o servidor responsável.
E sim, quando o cache expirar, o SSSD precisará consultar o servidor de diretório novamente - o que, se isso levar alguns minutos, será penoso.
Tags sssd