저는 FreeIPA 통합을 테스트하고 있습니다. 제가 시도하고 있는 시나리오 중 하나는 서버를 오프라인으로 전환하고 클라이언트로 테스트하는 것인데 문제가 있습니다. FreeIPA 서버를 중지하고 클라이언트에 다시 SSH를 연결한 것보다 새로 생성된 FreeIPA 사용자로 클라이언트에 로그인했습니다. 여태까지는 그런대로 잘됐다.
하지만 캐시된 FreeIPA 사용자를 삭제하는 방법을 찾을 수 없습니다. 시도했지만 sss_cache -E도움이 되지 않습니다. 내가 알 수 있는 한 account_cache_expiration/etc/sssd/sssd.conf의 설정은 지정된 시간 후에 캐시된 사용자를 삭제해야 하지만 기본적으로 0(무제한 시간)입니다.
CentOS 7.4/FreeIPA 4.5.0이 설치된 서버와 Linux Mint 18.3/SSSD 1.13.4가 설치된 클라이언트를 사용하고 있습니다.
추신: 이 질문은 비슷한 문제에 관한 것이지만 답변이 없습니다.SSD 및 LDAP 인증 캐시
답변1
sss_cache는 의도적으로 캐시를 삭제하지 않습니다. 왜냐하면 오프라인 클라이언트에 로그인할 방법이 없기 때문입니다. 캐시된 비밀번호는 (지금까지) 나머지 데이터와 동일한 캐시에 저장됩니다.
캐시를 정말로 제거하려면 sssctl 하위 명령 중 하나를 사용하면 됩니다.
그러나 하나의 항목을 선택적으로 제거하는 것은 불가능합니다. 그런데 서버에서 사용자를 제거한 경우 클라이언트가 온라인 상태일 때 사용자에게 요청하면 도움이 됩니다.
답변2
캐시에서 한 명의 사용자만 삭제할 수는 없습니다.
캐시를 완전히 지우려면 다음 내용을 삭제해야 합니다.
/var/lib/sss/db
이후,
systemctl restart sssd
LDAP 서버에 네트워크가 연결되어 있는지 확인하십시오. 그렇지 않으면 누구도 로그인할 수 없습니다.