Linuxマシン(CentOS 5.2を実行)を、Active Directoryを実行するWindowsサーバーに対して認証するように構成しました。 winbindオフラインログオンも有効にしています。すべてが期待どおりに機能しますが、winbind認証キャッシュにTTLを課すことも検討しています。これまでのところ、sambaのドキュメントにある以下のスニペットだけが見つかりました
winbindキャッシュ時間(G)
このパラメータは、winbindd(8)デーモンがWindows NTサーバーに再度問い合わせる前にユーザーとグループの情報をキャッシュする秒数を指定します。
* これは認証要求には適用されません*、winbindオフラインログオンオプションが有効になっていない限り、これらは常にリアルタイムで評価されます。
デフォルト:winbindキャッシュ時間= 300
明らかに、winbindキャッシュ時間パラメーターは、認証リクエストのキャッシュTTLを制御しません。winbind認証リクエストのキャッシュタイムアウトを実装できる他の方法はありますか?
ありがとうございました
最初はデフォルトのidmap
バックエンドを使用していました。ただし、idmap
バックエンドをAD
に切り替えたところ、問題は修正されました。以下はsmb.confで使用する設定オプションです。
idmap config MYDOMAIN:backend = ad
idmap config MYDOMAIN:default = yes
idmap config MYDOMAIN:schema mode = rfc2307
idmap config MYDOMAIN:range = 1000-60000
idmap cache time = 1
idmap negative cache time = 1
winbind cache time = 1
ただし、AD側でグループメンバーシップに加えられた変更を確認するには、ログアウトして再度ログインする必要があります。