У меня есть несколько компьютеров в моей сети, настроенных для аутентификации через LDAP с использованием SSSD.
Когда я добавляю / изменяю / удаляю пользователей (пользователей) / группу (группы) в моей базе данных LDAP, это может довольно долгое время, когда изменения распространяются на отдельные клиентские машины.
Я понимаю, что дезамон SSSD на каждом клиенте поддерживает локальный кеш, который периодически обновляется. Я попытался очистить этот кеш, используя sss_cache -E на каждом клиенте, который в соответствии с man-страницей sss_cache должен аннулировать все записи в кэше SSSD.
Если я запустил эту команду, я замечаю, когда я запускаю id <username> Я вижу, что обновления, сделанные в моей базе данных LDAP, видны. Однако, если я запускаю только id без указания имени пользователя, я до сих пор вижу недопустимые значения кэша SSSD. Кроме того, оболочки на клиентах не знают о каких-либо новых разрешениях, предоставленных в результате изменений, сделанных в моей базе данных LDAP.
То, что я хотел бы знать, - это то, почему очистка кеша SSSD с помощью sss_cache, на клиентские машины не очищают все кэшированные записи пользователя / группы с моего LDAP-сервера и есть ли способ по-настоящему смывать все?
Примечание:
Серверы клиентов и LDAP запущены Ubuntu 14.04 Конфигурация моего клиента /etc/sssd/sssd.conf выглядит следующим образом:[domain/example.internal]
autofs_provider = ldap
ldap_schema = rfc2307
krb5_realm = #
ldap_search_base = dc=example,dc=internal
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldap://ldapmaster.example.internal,ldap://ldapmirror.example.internal
ldap_id_use_start_tls = True
cache_credentials = True
ldap_tls_cacertdir = /etc/sssd/cacerts
ldap_tls_cacert = /etc/sssd/cacerts/example-internal-cacert.pem
ldap_tls_reqcert = hard
ldap_user_search_base = ou=people,dc=example,dc=internal
ldap_user_object_calls = person
ldap_user_name = uid
ldap_user_uid_number = uidNumber
ldap_user_gid_number = gidNumber
ldap_user_gecos = gecos
ldap_user_home_directory = homeDirectory
ldap_user_shell = loginShell
ldap_user_search_scope = one
ldap_group_search_base = ou=groups,dc=example,dc=internal
ldap_group_object_class = posixGroup
ldap_group_name = cn
ldap_group_gid_number = gidNumber
ldap_group_member = memberUid
ldap_group_search_scope = one
[sssd]
services = nss, pam, autofs
config_file_version = 2
domains = example.internal
[nss]
filter_groups = root
filter_users = root
[pam]
[sudo]
[autofs]
[ssh]