Отключение кэширования групп. winbindd, SubGun, 01-Авг-12, 12:20 [смотреть все]Есть samba 3.5.11-79.fc14, с авторизацией пользователей через AD. Необходимо, чтобы некий скрипт, запускаемый от одного из пользователей менял права на папки. Для этого, пользователь должен входить в некоторые группы AD. Проблема в том, что winbindd почему-то кэширует содержимое групп и обновляет в произвольные периоды времени, несмотря на отключенный "winbind offline logon". Например, некий пользователь user1 вчера был включен в десяток групп, однако: Цитата: # groups user1 user1 : users webadmins пользователи домена пользователи sharepoint fotobank BUILTIN\users показывает, что пользователь включен только в некоторые, в которые включался больше полугода назад. Рестарт winbind не помогает, запуск winbind с ключом "-n" - тоже. Такая проблема исключительно с группами. Может быть есть какой-то другой способ перекэшировать данные из AD? В логах, кстати, проблем нет: Цитата: [2012/08/01 11:54:19.179583, 0] winbindd/winbindd_cache.c:3076(initialize_winbindd_cache) initialize_winbindd_cache: clearing cache and re-creating with version number 1 Может быть я чего-то не понимаю? Кстати, пользователь user1 есть и в системе, и в AD.
|
- Отключение кэширования групп. winbindd, ALex_hha, 13:27 , 01-Авг-12 (1)
Есть ли проблемы чисто с виндовым пользователем? Запущен ли nscd/nslcd?
- Отключение кэширования групп. winbindd, SubGun, 13:48 , 01-Авг-12 (2)
> Есть ли проблемы чисто с виндовым пользователем? Запущен ли nscd/nslcd?Нет, проблем с пользователями нету. Очень часто, приходится прописывать пользователей в samba явно(даже если он входит в уже прописанную в "valid users" доменную группу), именно потому, что группы не перечитываются сразу. nscd не запущен и даже не установлен.
- Отключение кэширования групп. winbindd, tux2002, 16:45 , 01-Авг-12 (4)
>[оверквотинг удален] > показывает, что пользователь включен только в некоторые, в которые включался больше полугода > назад. Рестарт winbind не помогает, запуск winbind с ключом "-n" - > тоже. Такая проблема исключительно с группами. Может быть есть какой-то другой > способ перекэшировать данные из AD? > В логах, кстати, проблем нет: > Цитата: > [2012/08/01 11:54:19.179583, 0] winbindd/winbindd_cache.c:3076(initialize_winbindd_cache) > initialize_winbindd_cache: clearing cache and re-creating with version number 1 > Может быть я чего-то не понимаю? Кстати, пользователь user1 есть и в > системе, и в AD.man smb.conf winbind cache time (G) Но результат может не дать, я давненько парился с этим, но уже не помню.
- Отключение кэширования групп. winbindd, SubGun, 16:58 , 01-Авг-12 (5)
<------>idmap cache time = 1 <------>idmap negative cache time = 1 <------>winbind cache time = 1Не помогает. Прямо сейчас попробовал добавить доменного пользователя в доменную группу, полчаса прошло, winbind не видит еще пользователя в новой группе. # wbinfo --group-info Бухгалтерия бухгалтерия:*:10017:aaa # groups aaa aaa : пользователи домена BUILTIN\users
- Отключение кэширования групп. winbindd, tux2002, 18:01 , 01-Авг-12 (6)
> <------>idmap cache time = 1 > <------>idmap negative cache time = 1 > <------>winbind cache time = 1 > Не помогает. Прямо сейчас попробовал добавить доменного пользователя в доменную группу, > полчаса прошло, winbind не видит еще пользователя в новой группе. > # wbinfo --group-info Бухгалтерия > бухгалтерия:*:10017:aaa > # groups aaa > aaa : пользователи домена BUILTIN\users Да с этим действительно у самбы траблы, я в это упирался. У меня информация о пользователях достаточно статична была и я записывал данные winbind в /etc/group: getent group > /etc/group.new
- Отключение кэширования групп. winbindd, ALex_hha, 11:44 , 02-Авг-12 (7)
Странно у себя не наблюдаю таких проблем# id borodach uid=1546(borodach) gid=1291(training) groups=1291(training),513(Domain Users),1336(svn),1359(pentaho) # wbinfo -r borodach 1291 513 1336 1359 Удаляем пользователя из группы # smbldap-groupmod -x borodach svn # id borodach uid=1546(borodach) gid=1291(training) groups=1291(training),513(Domain Users),1359(pentaho) # wbinfo -r borodach 1291 513 1359 Но у меня не AD, а домен на базе samba + OpenLDAP.
|