Linux 上清理 SSSD Cache

最新推荐文章于 2024-10-11 10:38:07 发布
最新推荐文章于 2024-10-11 10:38:07 发布
阅读量1.2k 收藏 5
点赞数 5
分类专栏: Linux 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36393978/article/details/137921924
版权

1. 简介

系统安全服务守护程序 (SSSD) 提供对身份和身份验证提供程序的访问。 基本上,SSSD 不依赖于本地配置的身份验证,而是用于查找其本地缓存。 此缓存中的条目可能来自不同的远程身份提供商,例如 LDAP 目录、FreeIPAActive Directory

SSSD 缓存来自这些远程位置的用户和凭据的结果,以便在身份提供者离线时,用户凭据仍然可用并且用户仍然可以登录。 这有助于提高性能并促进可扩展性,单个用户可以登录多个系统,而不是在任何地方使用本地帐户。

如果存储的记录变得过时并且不再与身份提供者同步,则缓存的结果可能会出现问题,因此了解如何刷新 SSSD 缓存以修复各种问题并更新缓存非常重要。

在这里,我们将介绍几种不同的方法来刷新 SSSD 缓存。

2. sss_cache 工具

可以使用 sss_cache 实用程序清除缓存,该实用程序用于通过使 SSSD 缓存中的记录无效来执行缓存清理。 无效记录必须从信息实际所在的身份提供商服务器(例如 FreeIPAActive Directory)重新加载。

-E 参数可用于使所有缓存条目无效,sudo 规则除外。

sss_cache -E

或者,我们也可以简单地使用 -u 标志,后跟帐户用户名,仅从缓存中使特定用户无效。

sss_cache -u username

有关更多信息,请参阅 sss_cache 手册页

3. 删除缓存文件

SSSD 将其缓存文件存储在 /var/lib/sss/db/ 目录中。

虽然使用 sss_cache 命令更好,但也可以通过简单地删除相应的缓存文件来清除缓存。

在执行此操作之前,建议停止 SSSD 服务。

systemctl stop sssd

之后我们要删除 /var/lib/sss/db/ 目录中的所有文件。

rm -rf /var/lib/sss/db/*

完成后,我们可以再次启动 SSSD 备份。


systemctl restart sssd

SSSD 现在应该以空缓存正确启动,任何用户登录现在将首先直接转到定义的身份提供程序进行身份验证,然后在本地缓存。

建议仅在域内执行身份验证的身份提供商服务器可用时才清除缓存,否则一旦缓存被刷新,用户将无法登录。

4. 总结

只需删除存储缓存记录的文件即可轻松删除 SSSD 缓存,或者可以使用 sss_cache 工具更干净地完成此操作,该工具将使缓存中的指定记录无效。

网络建设与运维赛项赛题-KVM
weixin_52323507的博客
11-14 174
网络建设与运维赛项赛题
OpenStack制作qcow2格式镜像详细教程------最新版待整理
背锅神童的博客
05-19 1488
qcow2是kvm支持的磁盘镜像格式,支持写时拷贝、支持快照,常用于云平台的镜像格式
linux下如何重启或停止sssd_be
weixin_42593130的博客
01-19 775
Linux 系统中,可以使用 service 或 systemctl 命令来重启或停止 sssd_be。 重启 sssd_be 的命令为: service sssd_be restart 或 systemctl restart sssd_be 停止 sssd_be 的命令为: service sssd_be stop 或 systemctl stop sssd_be ...
按需挂载 Linux {sssd工具, autofs工具}
wsylina的博客
12-15 579
场景:svr1、svr2、svr3、……、svr20都提供用户账号zhsan 使用本地用户:用户/密码信息存在svr1、svr2 ……每一台主机上的 /etc/passwd、/etc/shadow 文件中 存在的问题: 密码分散存放,更新密码、使用密码不方便 改用网络用户:用户/密码信息存在网络中某一台集中的服务器(比如svr21)上 带来的好处:在svr1、svr2、……每一台主机上...
清除FreeIPA SSSD缓存
邢为栋
09-15 4358
https://www.rootusers.com/how-to-clear-the-sssd-cache-in-linux/#:~:text=The%20SSSD%20cache%20can%20easily,specified%20records%20from%20the%20cache. https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/deployment_guide/sssd-cache
Linux SSSD(System Security Services Daemon)
多头注意力探索Now
06-27 1773
安全模块设计
linuxsssd服务,系统安全服务守护进程SSSD
weixin_39851279的博客
05-07 2466
SSSD是自红帽企业版Linux6起新加入的一个守护进程,该进程可以用来访问多种验证服务器,如LDAP,Kerberos等,并提供授权。SSSD是介于本地用户和数据存储之间的进程,本地客户端首先连接SSSD,再由SSSD联系外部资源提供者(一台远程服务器)。这样做有一些几点优势:1.避免了本地每个客户端程序对认证服务器大量连接,所有本地程序仅联系SSSD,由SSSD连接认证服务器SSSD缓存,有...
linuxsssd服务,linuxSSSD进程不会死
weixin_39915668的博客
05-07 1253
感谢您抽出宝贵时间查看我的问题.我目前正在研究一个只出现过一次的问题.回到1月3日,当第一次出现时,我们能够重新启动服务器,一切似乎都很好,但现在又回来了.这是一个生产数据库系统,因此找到重启窗口有时会很困难.我希望能够牢牢掌握这次可能发生的事情,然后我们会在几天后重新启动,为问题提供另一个临时解决方案.开始了…有问题的系统的用户身份验证通过红帽目录服务器9使用LDAP进行处理.下面描述的问题只能...
linux查看安全组端口权限os7,CentOS 7中系统安全及应用详述
weixin_30495789的博客
04-29 1078
账户安全控制用户账号是计算机使用者的身份凭证或标识,每个要访问系统资源的人,必须凭借其用户账号才能进入计算机。基本安全措施1、系统账号清理将非登录用户的shell设为/sbin/nologin删除无用的账号锁定长期不使用的账号chattr +i 锁定文件chattr -i 解锁文件lsattr 查看文件锁定情况我们可以通过锁定passwd、shadow文件阻止创建新的用户[root@localho...
Linux进程管理(redhat 8.0)
system_rookie的大佬成长之路
08-19 737
Linux进程管理 进程基本概述 1进程的组成部分 2进程的环境 3进程的产生 4进程的分类 Linux进程调度与多任务 进程优先级 进程优先级范围:0-139,数字越小优先级越高 - 0-99:实时优先级,由内核调整 - 100-139:静态优先级,用户可控制 进程优先级高的特点: - 获得更多的CPU运行时间 - 更优先获得CPU运行机会 要修改进程的优先级可以通过调整进程的nice值来实现,nice值越小,优先级越高: nice值的范围是(-20到19),-20对应100,19对应139 相对优先
CentOS6 系统日志
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
02-11 2996
日志分类: 一、/var目录 /var 所有服务或错误信息文件都在/var/log下,此外,一些数据库如MySQL则在/var/lib下,用户未读的邮件的默认存放地点为/var/spool/mail 二、:/var/log/ 系统的引导日志:/var/log/boot.log 例如:Feb 26 10:40:48 sendmial : sendmail startup succeeded ...
linuxsssd服务,Linux sssd 认证
weixin_32494473的博客
05-07 4148
sssd是一款用以取代ldap和AD的软件,配置比较简单。本文介绍如何在ldap客户端部署sssd,来启用ldap认证。- 安装sssdyum install sssdyum remove pam_ldap samba*安装sssd,并卸载pam_ldap和samba相关的包- 配置/etc/sssd/sssd.conf[sssd]config_file_version = 2services =...
我的linux系统SSD占用总是100%怎么办?
inter_peng的专栏
04-09 3226
本文由Markdown语法编辑器编辑完成。 1. 前言: 你有没有这样的经历,每当要下载一个文件时,就会提示你的磁盘空间已经不太够用了。通过df -h查看,可以看到SSD的占用已经达到了100%. 虽然系统上还挂载了一块很大的硬盘,但是毕竟操作系统在SSD上面。因此系统的一些功能会受到影响,比如剪贴板就时灵时不灵的。 能够想到的,占用较大空间的文件,一般是: 软件的安装程序; 软件的一些缓存; 数据和图像; docker的image; 虚拟环境venv; nodule_modules java的.m2 等
使用 SSSD 将组策略应用于 Linux
allway2的博客
10-08 748
每个服务都可以使用自己的PAM配置(例如,SSH使用/etc/pam.d/sshd,XRDP使用/etc/pam.d/xrdp-sesman),或者可能默认为内置配置(例如登录)。有一些默认值取决于您的发行版和已安装的软件包(例如,您的桌面管理器,如 gdm 或 lightdm,可能使用不同的 PAM 服务)。请注意,如果特定计算机或用户帐户没有 GPO(组策略对象)、具有无法分析的 GPO,或者将 GPO 应用于 Windows 内置组(如管理员),则 Linux 中的默认设置将拒绝访问。
linuxsssd服务,使用FreeIPA为SS信任用户在SSSD上设置默认登录Shell
weixin_33828635的博客
05-07 978
本文介绍使用FreeIPA为SS信任用户在SSSD上设置默认登录Shell的方法。前言IPA身份管理服务器提供与Microsoft Active Directory的双向用户身份和密码同步,但是在配置IPA和Active Directory之后,用户的默认shell是/bin/sh,本文将讨论如何在FreeIPA客户端上更改AD信任用户的默认shell,以便所有用户都可以享受更好的shell环境,...
【转载】Linux OpenLDAP集成sssd同步用户并集成SSH登录
Mrerlou的博客
10-09 1799
sssd服务是一个守护进程,该进程可以用来访问多种验证服务器,如LDAP,Kerberos等,并提供授权。SSSD是 介于本地用户和数据存储之间的进程,本地客户端首先连接SSSD,再由SSSD联系外部资源提供者(一台远程服务器)(1)避免了本地每个客户端程序对认证服务器大量连接,所有本地程序仅联系SSSD,由SSSD连接认证服务器SSSD缓存,有效的降低了负载。(2)允许离线授权。SSSD可以缓存远程服务器的用户认证身份,这允许在远程认证服务器宕机是,继续成功授权用户访问必要的资源。
[sss_cache] [sysdb_domain_cache_connect] (0x0010): DB version too old [0.23], expected [0.24] for do
NLP与推荐算法
10-11 589
**NSS(Name Service Switch)**:如果NSS配置为使用SSSD进行用户和组信息的查询,那么在SSSD服务重启期间,用户和组信息的查询可能会失败。- **Kerberos**:如果SSSD配置为使用Kerberos进行认证,删除缓存文件可能会影响Kerberos票据的缓存。- **LDAP**:如果SSSD配置为使用LDAP进行用户和组信息的查询,删除缓存文件可能会影响LDAP查询的缓存。在删除缓存文件并重新启动SSSD服务的过程中,SSSD服务可能会短暂中断。
如何终止 /sssd_be --domain implicit_files --uid 0 --gid 0 --logger=files的命令?即便对sssd_be进行kill也无法关停...
weixin_35750953的博客
01-19 205
可以使用命令 "systemctl stop sssd" 或 "service sssd stop" 终止 sssd_be 进程。如果这些命令都无法终止进程,可以使用 "kill -9 PID" 强制终止进程,其中 PID 是 sssd_be 进程的进程 ID。 ...
RHCE8学习过程(十一)重定向和文件的查询
Hengji的博客
10-20 956
11.1、文件描述符 11.1.1 输入输出标准说明 11.2、重定向的含义-管道的使用-tee 命令 11.2.1 输出重定向 11.2.2 输入重定向 11.2.3 EOF 11.2.4 错误重定向 11.2.5 null 黑洞和 zero 空文件 11.2.6 &>和>&符号 11.2.7 管道 | 的使用 11.2.8 tee 命令 将磁盘使用的信息写入文件 11.3、文件查找常用命令 11.3.1 which-whereis-locate-grep find 命令使用 locate grep 查找
linux LDAP SSSD
最新发布
01-31
### 配置和故障排除:Linux LDAP与SSSD集成 #### 一、概述 在现代企业级Linux部署中,通过LDAP(轻量目录访问协议)实现集中化身份验证管理是一种常见做法。为了提高效率并简化配置过程,通常会结合使用System Security Services Daemon (SSSD)[^1]。 #### 二、安装必要的软件包 对于基于Red Hat的企业版Linux发行版本而言,需要先确保已安装sssd-client以及openldap-y ``` #### 三、基础设置 编辑`/etc/sssd/sssd.conf`文件来定义域和服务参数。下面是一个简单的例子: ```ini [sssd] domains = example.com config_file_version = 2 services = nss, pam [domain/example.com] id_provider = ldap auth_provider = ldap chpass_provider = ldap access_provider = simple ldap_uri = ldaps://ldap.example.com/ ldap_search_base = dc=example,dc=com ldap_tls_reqcert = never ``` 请注意,在实际应用中应当启用TLS加密通信,并严格校验证书有效性而不是简单地将其设为never。 #### 四、PAM模块调整 为了让系统能够利用SSSD来进行用户认证,则需修改相应的Pluggable Authentication Modules(PAM)策略文件。一般情况下只需更新/etc/pam.d/system-auth-ac即可满足需求: ```bash auth sufficient pam_sss.so use_first_pass account [default=bad success=ok user_unknown=ignore] pam_sss.so password sufficient pam_sss.so use_authtok session required pam_mkhomedir.so skel=/etc/skel umask=0077 session optional pam_sss.so ``` 以上更改使得新创建的家目录自动由pam_mkhomedir.so负责处理;同时允许首次登录时自动生成所需的个人空间结构。 #### 五、NSSwitch配置优化 最后一步是要确认名称服务切换(NSSwitch)数据库正确指向了SSSD作为数据源之一。这可以通过编辑/etc/nsswitch.conf完成: ```plaintext passwd: files sss shadow: files sss group: files sss sudoers: files sss ``` 上述设定表明除了传统的本地账户外,还应该查询来自远端LDAP服务器的信息记录。 #### 六、测试连接性和功能正常性 一旦完成了所有前期准备工作之后,建议立即尝试执行如下命令以检验整个流程是否顺畅无误: ```bash getent passwd testuser@example.com su -l testuser@example.com ``` 如果一切顺利的话,那么就说明已经成功实现了Linux平台下针对LDAP用户的无缝接入支持。 #### 故障排查技巧 当遇到无法预期的行为或错误提示时,可以考虑采取以下几个措施帮助定位问题所在: - 查看日志消息:查看/var/log/messages或者journalctl输出寻找任何可能存在的警告或异常情况; - 启用调试模式:临时增加debug_level选项至全局部分以便收集更详细的运行状态报告; - 使用工具辅助诊断:借助ldapsearch这类专用客户端程序直接向目标服务器发起请求从而快速判断网络连通状况及权限分配合理性等问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Imagine Miracle

爱你哟 =^ v ^=

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值