在我们的系统上从本地用户组切换到 LDAP 组成员身份后,执行修改后立即无法识别更改成员身份。相反,在 Samba 服务器应用更新的成员身份之前,我们会经历几分钟的延迟。
安装的是 Samba 服务器Version 4.5.16-Debian和OpenLDAP: slapd (May 23 2018 04:25:19)。配置的相关部分smb.conf是:
passdb backend = ldapsam:ldap://localhost
read only = yes
ldap suffix = dc=example,dc=com
ldap user suffix = ou=people
ldap admin dn = cn=admuser,ou=admgroup,dc=example,dc=com
ldap ssl = no
ldap passwd sync = yes
netbios name = EXAMPLE
netbios aliases = EXAMPLE2
obey pam restrictions = Yes
答案1
按照这samba 邮件列表的响应,nscd缓存条目,如果 LDAP 也用于 PAM/NSS,则通常会一起安装:
# apt-cache show libnss-ldap |grep ^Recommends
Recommends: nscd, libpam-ldap
为了立即触发识别修改,可以通过以下方式使相应的缓存表无效:
nscd --invalidate group