du hast keinen sssd auf dem Client oder Server, oder?
In dem Fall würde sss_cache helfen den Cache zu invalidieren (-u, -g, -N)
Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung
Re: Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung
Nein ich habe kein sssd im Einsatz.
Noch eine andere Idee?
Noch eine andere Idee?
Re: Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung
Jetzt hab ich das ganze noch einmal unter der Debian Buster (testing) aufgesetzt. Hier habe ich nachwievor das selbe Problem.
Es muss doch eine Möglichkeit geben, einem LDAP Benutzer mittels LDAP Gruppen ALC Berechtigungen auf einem NFS Server zuzuweisen und diese umgehend zu aktivieren.
Hier wird an irgendeiner Stelle ein Cache verwendet, welcher die Änderung im LDAP (hinzufügen von Benutzern zu einer Gruppe) nicht bereitstellt.
Mit getent group | grep "user" sehe ich am Server und am Client auch direkt die Zugehörigkeit des Benuters in der neuen Gruppe. Der Benutzer hat jedoch noch keinen Zugriff auf den NFS Ordner.
Muss man hier evtl. noch etwas am NFS Server ausführen?
Ich komme hier einfach nicht weiter. Das ist echt ein ziemlich großes Problem.
Es muss doch eine Möglichkeit geben, einem LDAP Benutzer mittels LDAP Gruppen ALC Berechtigungen auf einem NFS Server zuzuweisen und diese umgehend zu aktivieren.
Hier wird an irgendeiner Stelle ein Cache verwendet, welcher die Änderung im LDAP (hinzufügen von Benutzern zu einer Gruppe) nicht bereitstellt.
Mit getent group | grep "user" sehe ich am Server und am Client auch direkt die Zugehörigkeit des Benuters in der neuen Gruppe. Der Benutzer hat jedoch noch keinen Zugriff auf den NFS Ordner.
Muss man hier evtl. noch etwas am NFS Server ausführen?
Ich komme hier einfach nicht weiter. Das ist echt ein ziemlich großes Problem.
Re: Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung
Hallo zusammen,
ich habe das Thema die letzte Zeit etwas vernachlässigt und noch mal aufgegriffen.
Auch in der aktuellen Debian Buster Version habe ich nach wie vor das selbe Problem.
Auf welcher Seite ist das Problem zu suchen?
ich habe das Thema die letzte Zeit etwas vernachlässigt und noch mal aufgegriffen.
Auch in der aktuellen Debian Buster Version habe ich nach wie vor das selbe Problem.
- Benutzer wird in die neue Gruppe gesteckt
- Auf dem Client die Zugehörigkeit geprüft: "getend group"
- Kein Zugriff auf den NFS4 Folder
Auf welcher Seite ist das Problem zu suchen?
- NFS4 mit ACL´s
- LDAP User/Group
- Client
Re: Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung
Funktioniert das NFS4 mit ACL über Kerberos Tickets? Die werden bei der Anmeldung ausgestellt und beinhalten die Nutzerrechte für die Resource, und bis zum Ablauf werden die auch nicht erneuert. Weitere Infos z B unter http://www.rcg.sfu.ca/workstations/kerberos.html
Für dich vermutlich ab Q #12 interessant.
Für dich vermutlich ab Q #12 interessant.
Re: Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung
Hallo mludwig,
ja das hatte ich auch schon vermutet.
Jedoch habe ich bereits mit kdestroy und kinit mein kerberos Ticket neu erstellt. Auch das hat nicht geholfen.
Das seltsame ist, dass es nach einer Zeit irgendwann funktioniert. Daher tippe ich ja immer noch auf einen Cache. Aber alles was ich mit nscd unternommen habe hat nicht funktioniert.
Noch mal für mein Verstätndnis.
ja das hatte ich auch schon vermutet.
Jedoch habe ich bereits mit kdestroy und kinit mein kerberos Ticket neu erstellt. Auch das hat nicht geholfen.
Das seltsame ist, dass es nach einer Zeit irgendwann funktioniert. Daher tippe ich ja immer noch auf einen Cache. Aber alles was ich mit nscd unternommen habe hat nicht funktioniert.
Noch mal für mein Verstätndnis.
- Am NFS4 Server habe ich ja nichts verändert. Die LDAP Gruppe A hat zugriff auf den Ordner A.
- Ich sorge lediglich dafür das Benutzer xy in die LDAP Gruppe A aufgenommen wird.
- Wenn ich am Client mit getent group | grep "Benutzer xy" meine LDAP Zugehörigkeit prüfe, sehe ich das ich Mitglied der Gruppe A bin.
- Jedoch habe ich noch keine Berechtigung auf den NFS4 Ordner A.