FreeIPA 統合をテストしています。試しているシナリオの 1 つは、サーバーをオフラインにしてクライアントでテストすることですが、問題が発生しています。新しく作成した FreeIPA ユーザーでクライアントにログインし、FreeIPA サーバーを停止して、クライアントに再度 SSH 接続しました。これまでのところ順調です。
しかし、キャッシュされた FreeIPA ユーザーを削除する方法が見つかりません。試してみましたsss_cache -Eが、役に立ちませんでした。私が知る限り、account_cache_expiration/etc/sssd/sssd.conf の設定では、一定時間後にキャッシュされたユーザーを削除するはずですが、デフォルトでは 0 (無制限の時間) になっています。
CentOS 7.4/FreeIPA 4.5.0のサーバーとLinux Mint 18.3/SSSD 1.13.4のクライアントを使用しています。
PS: この質問は同様の問題に関するものですが、未回答のままですsssd および ldap 認証キャッシュ
答え1
sss_cache は意図的にキャッシュを削除しません。削除すると、オフライン クライアントにログインすることができなくなり、キャッシュされたパスワードは (これまでのところ) 残りのデータと同じキャッシュに保存されるためです。
本当にキャッシュを削除したい場合は、sssctl サブコマンドの 1 つで削除できます。
ただし、1 つのエントリを選択的に削除することはできません。ちなみに、サーバーからユーザーを削除した場合は、クライアントがオンラインのときにユーザーを要求するだけで解決するはずです。
答え2
キャッシュから 1 人のユーザーだけを削除することはできません。
キャッシュを完全にクリアしたい場合は、以下の内容を削除する必要があります。
/var/lib/sss/db
その後、
systemctl restart sssd
LDAP サーバーへのネットワーク接続があることを確認してください。そうしないと、誰もログインできなくなります。