Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung

Probleme mit Samba, NFS, FTP und Co.
Antworten
joe2017
Beiträge: 233
Registriert: 07.08.2017 14:29:51

Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung

Beitrag von joe2017 » 29.10.2018 14:51:04

Hallo zusammen,

Ich habe ein kleines Problem mit Berechtigungen. Ich habe ein LDAP/Kerberos Server (debian 9.5.0) und einen NFS Server. Ich habe auf meinem NFS Server alle Berechtigungen mit LDAP Gruppen konfiguriert. Das funktioniert auch alles wunderbar.

Wenn ich jetzt einen LDAP Benutzer in eine LDAP Gruppe hinzufüge, um auf den NFS Ordner zugreifen zu können, hab ich hier eine zeitliche Verzögerung bis diese Änderungen greifen.
Wenn ich auf meinem Client die Gruppenzugehörigkeit prüfe (getent group | grep user) sehe ich das der Benutzer bereits in der Gruppe vorhanden ist. Jedoch kann ich nicht auf die Ordner zugreifen. Ich habe jetzt nach ca 20 Minuten festgestellt, dass ich den Zugriff erhalten habe. Dies habe ich an einem zweiten Benutzer reproduzieren können. Auch ein Neustart des Clients hat nichts geholfen. Wie lange es dauert bis die Anpassungen aktiv werden, kann ich noch nicht genau sagen.

Muss ich evtl noch etwas an meinem Client bzw. LDAP Server oder NFS Server ausführen, damit diese Änderungen übernommen werden? Gibt es hierzu einen Befehl?

Vielen Dank für eure Tipps.

joe2017
Beiträge: 233
Registriert: 07.08.2017 14:29:51

Re: Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung

Beitrag von joe2017 » 30.10.2018 08:37:21

Ich vermute das es mit einem Cache zu tun hat. Anscheinend prüft der Client bzw. NFS Server erst nach einer gewissen Zeit die Änderungen im LDAP.
Dies würde ich jedoch gerne beschleunigen. Das kann man doch mit Sicherheit manuel mit einem Befehl erledigen.

Hat jemand eine Idee hierzu?

Benutzeravatar
ThorstenS
Beiträge: 2801
Registriert: 24.04.2004 15:33:31

Re: Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung

Beitrag von ThorstenS » 01.11.2018 22:00:05

das hilft bei mir:

Code: Alles auswählen

systemctl restart nslcd  &&  systemctl restart nscd 

joe2017
Beiträge: 233
Registriert: 07.08.2017 14:29:51

Re: Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung

Beitrag von joe2017 » 05.11.2018 09:28:37

ThorstenS hat geschrieben: ↑ zum Beitrag ↑
01.11.2018 22:00:05
das hilft bei mir:

Code: Alles auswählen

systemctl restart nslcd  &&  systemctl restart nscd 
Wo genau führst du das aus? Auf dem Client oder dem Server?
Ich habe das gerade auf meinem Client, LDAP-Server und NFS-Server ohne Erfolg getestet.
PS. den Service nslcd gibt es bei mir nicht. Bei mir existiert nur der Service nscd.

Ich hatte ja bereits einen Neustart an meinem Client durchgeführt. Dies hatte nichts gebracht. bei meinem letzten Test habe ich über 60 Minuten warten müssen bis die Änderungen aktiv wurden.

Benutzeravatar
ThorstenS
Beiträge: 2801
Registriert: 24.04.2004 15:33:31

Re: Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung

Beitrag von ThorstenS » 05.11.2018 16:37:45

Das Paket nslcd kommt bei mir noch von etch oder wheezy (habe den Server immer aktualisiert). Habe es nie entsorgt, da es nicht weh tut.
Ich führe den Befehl auf dem Client aus.

Du hast sicherlich NFSV4 mit kerberos am Start, oder? Kann hier vllt ein Zusammenhang mit dem ticket bestehen?
Bringt vllt. schon ein klist -R oder kdestroy ; kinit Erfolg? Ansonsten würde ich das Problem im Caching zw. LDAP und NFS Server sehen, nicht beim Client.
Testen kannst du das ja, indem du einen zwoten Client hochfährst und eine neue NFS Verbindung aufmachst.

joe2017
Beiträge: 233
Registriert: 07.08.2017 14:29:51

Re: Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung

Beitrag von joe2017 » 06.11.2018 09:29:02

Schönen Guten Morgen,

Ja ich habe einen NFS4 Server mit Kerberos. Ich habe das ganze noch einmal am Client getestet.
kdestroy und kinit hat leider nicht geholfen.

Ich habe jedoch einem User welcher noch nicht am Client angemeldet war in eine LDAP Gruppe gesteckt. Nach der Anmeldung konnte ich direkt darauf zugreifen.
Ein User welcher angemeldet ist und in eine Gruppe gesteckt wird hat wieder das Zeitverzögerungsproblem. Selbst nach einem Neustart.
Ein neu angelegter Benutzer hat ebenfalls direkt Zugriff auf die konfigurierten LDAP Gruppen.

Was mir gerade noch einfällt... Ich bin mir jedoch nicht sicher, ob dies etwas ausmacht. Meine Berechtigungen auf die Ordner werden mit ACL´s eingetragen.
Also dass es am NFS Server liegt glaube ich irgendwie nicht. Hier ändere ich ja keine Berechtigungen. Ich lege einen Ordner mit Berechtigungen an und füge im LDAP lediglich den User der Gruppe hinzu.
Entweder muss der LDAP Server alle neuen Berechtigungen den Clients mitteilt, oder der Client muss sich die neuen Berechtigunen ziehen?

Hier ist jetzt nur die Frage wie ich das anstelle?

hoosoomooloo
Beiträge: 1
Registriert: 30.11.2018 07:24:24

Re: Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung

Beitrag von hoosoomooloo » 30.11.2018 07:56:57

Hallo in die Runde,

an iSCSI-Targets gibts ja nun ein paar, aktuell haben wir hier Debiantgt, was aber anscheinend alt und obsolet ist, stimmt das und wenn ja was sollte man dann nutzen?

Wir haben nämlich ein paar performanceprobleme mit tgt, der frisst ganz schön ressourcen wenn man da nen bissl was macht - und das liegt definitv nicht an den Platten, die können da noch einiges mehr rüber schaufeln.

schonmal danke für die hilfe!

Antworten