我们有一个 FreeIPA 域,运行多个 NFS 客户端,自动挂载 Kerberized NFSv4 服务器 (krb5p)。
我们在所有节点上运行最新的 RHEL 7.6,一切运行良好,但有一个例外:从 IPA 组中删除用户后需要 24 小时才能失去对共享的访问权限。
程序:
- 用户登录 NFS 客户端并浏览组限制共享。
- FreeIPA 管理员从授予上述共享访问权限的组中删除该用户。
- 用户注销客户端,重新登录并再次浏览共享,没有出现问题(尽管使用 id/groups 命令不再显示该组)。
- 重新启动客户端或等待 24 小时,用户将按预期失去访问权限。
有没有办法确保 NFS 客户端立即遵守 IPA 中的组更改?
我还尝试清除SSSD缓存(systemctl stop sssd && sss_cache -E && rm -rf /var/lib/sss/db/* && systemctl start sssd)并销毁/重新获取用户的kerberos票证,但无济于事。群体的改变仍然没有被遵守;我需要重新启动盒子或等待一天。
谢谢!