여러 NFS 클라이언트를 실행하는 FreeIPA 도메인이 있으며 Kerberized NFSv4 서버(krb5p)를 자동으로 마운트합니다.
우리는 모든 노드에서 최신 RHEL 7.6을 실행하고 있으며 한 가지 예외를 제외하고 모든 것이 잘 실행되고 있습니다. IPA 그룹에서 사용자를 제거한 후 공유에 대한 액세스 권한을 잃는 데 24시간이 걸립니다.
프로그램:
- 사용자는 NFS 클라이언트에 로그인하고 그룹 제한 공유를 찾습니다.
- FreeIPA 관리자는 위 공유에 대한 액세스 권한이 부여된 그룹에서 사용자를 제거합니다.
- 사용자는 클라이언트에서 로그아웃하고 다시 로그인한 후 문제 없이 공유를 다시 찾습니다(단, id/groups 명령을 사용하면 더 이상 그룹이 표시되지 않음).
- 클라이언트를 다시 시작하거나 24시간을 기다리면 예상대로 사용자가 액세스할 수 없게 됩니다.
NFS 클라이언트가 IPA의 그룹 변경 사항을 즉시 준수하도록 하는 방법이 있습니까?
또한 SSSD 캐시를 지우고(systemctl stop sssd && sss_cache -E && rm -rf /var/lib/sss/db/* && systemctl start sssd) 사용자의 kerberos 티켓을 삭제/다시 획득하려고 시도했지만 소용이 없었습니다. 그룹 변경이 여전히 적용되지 않습니다. 상자를 다시 시작하거나 하루를 기다려야 합니다.
감사해요!