複数のNFSクライアントを実行するFreeIPAドメインがあり、Kerberized NFSv4サーバー(krb5p)を自動的にマウントします。
私たちはすべてのノードで最新のRHEL 7.6を実行しており、1つの例外を除いてすべてがうまく動作しています。 IPAグループからユーザーを削除した後、共有へのアクセス権を失うのに24時間かかります。
プログラム:
- ユーザーは NFS クライアントにログインし、グループ制限の共有を探します。
- FreeIPA管理者は、上記の共有にアクセスできるグループからユーザーを削除します。
- ユーザーはクライアントからログアウトして再度ログインし、問題なく共有を見つけます(ただし、id / groupsコマンドを使用するとグループは表示されなくなります)。
- クライアントを再起動するか24時間待つと、期待どおりにユーザーがアクセスできなくなります。
NFSクライアントがIPAのグループの変更に即座に準拠するようにする方法はありますか?
また、SSSDキャッシュを消去し(systemctl stop sssd&&sss_cache -E&&rm -rf / var / lib / sss / db / *&&systemctl start sssd)、ユーザーのkerberosチケットを削除/再取得しようとしましたが、役に立ちませんでした。グループの変更はまだ適用されません。ボックスを再起動するか、1日待つ必要があります。
ありがとうございます!