samba – AD组成员身份更改未反映在winbind信息中

前端之家收集整理的这篇文章主要介绍了samba – AD组成员身份更改未反映在winbind信息中前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我已经继承了几个RHEL5服务器,这些服务器设置为通过winbind对其AD帐户的用户进行身份验证.一切正常,直到我更新AD中的组成员身份.对于某些用户,更改永远不会进入“groups”命令的输出,尽管它们会反映在“getent group< groupname>”的输出中.

例如,请考虑以下事项:

[root @hcc1pl1~] #group plubans
plubans:域用户系统基础架构开发
[root @hcc1pl1~] #getent group q1esb
q1esb:*:23136:q1qai,q1prodi

如果我将自己添加到winbind正在使用的DC上的q1esb,您可以看到成员资格已更新:

[root @hcc1pl1~] #lsof -i | grep winbind
winbindd 31339 root 17u IPv4 63817934 TCP hcc1pl1:56541-> hcnas01:microsoft-ds(ESTABLISHED)
winbindd 31339 root 21u IPv4 63817970 TCP hcc1pl1:53622-> hcnas01:ldap(ESTABLISHED)
[root @hcc1pl1~] #ldapsearch -u -x -LLL -h hcnas01 -D“plubans@XXX.XXX”-W -b“CN = Peter Lubans,OU =标准用户帐户,OU =用户,OU = XXX,DC = XXX,DC = XXX“”(sAMAccountName = *)“memberOf
输入LDAP密码:

memberOf:CN = q1esb,OU =安全组,OU =组,DC = XXX

请注意,winbind在没有缓存的情况下运行(-n标志):

[root @hcc1pl1~]#ps -ef | grep winbind
root 31339 1 0 13:50? 00:00:00 winbindd -n
root 31340 31339 0 13:50? 00:00:00 winbindd -n
根31351 31339 0 13:50? 00:00:00 winbindd -n
root 31352 31339 0 13:50? 00:00:00 winbindd -n
root 31353 31339 0 13:50? 00:00:00 winbindd -n

现在getent显示该组具有正确的成员:

[root @hcc1pl1~] #getent group q1esb
q1esb:*:23136:q1qai,plubans,q1prodi

但更新后的会员资格未反映在我的帐户详细信息中:

[root @hcc1pl1~] #group plubans
plubans:域用户系统基础架构开发
[root @hcc1pl1~]#

这个问题的真正令人担忧的部分是它适用于这台机器上的其他帐户,以及我从头开始配置的机器上的帐户.

有任何想法吗?

解决方法

看来这是由于在/var/cache/samba/netsamlogon_cache.tdb中在登录时缓存组信息引起的.我想虽然’-n’指示winbind不要缓存它对LDAP的查询,但是该TDB文件中存在的成员资格信息足以搞砸了.

猜你在找的Linux相关文章