<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Thanks, that solve my concern!</div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 20, 2014 at 5:35 PM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Thu, Nov 20, 2014 at 05:19:57PM +0800, Thomas Lau wrote:<br>
> What will happen if laptop haven't turn on for a long time and ticket<br>
> expired with cache and store password enabled? Does user unable to login<br>
> after expired?<br>
<br>
</span>SSSD doesn't use the ticket to authenticate in offline case, so sssd<br>
doesn't really care the ticket expired.<br>
<br>
Rather, when cache_credentials is enabled, we store a hash of the user's<br>
password in the cache and if offline, compare what the user entered<br>
with the stored hash.<br>
<br>
By default, the cache password hash never expires, unless you configure<br>
sssd to do so with offline_credentials_expiration<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
><br>
> On Thu, Nov 20, 2014 at 5:10 PM, Jakub Hrozek <<a href="mailto:jhrozek@redhat.com">jhrozek@redhat.com</a>> wrote:<br>
><br>
> > On Thu, Nov 20, 2014 at 05:04:02PM +0800, Thomas Lau wrote:<br>
> > > Does anyone know what's the behavior look like if a mobile user (laptop)<br>
> > > being disconnected from Kerberos for too long even cache is enabled by<br>
> > > default in our environment?<br>
> ><br>
> > SSSD caches the user data and if cache_credentials is enabled, then also<br>
> > a salted password hash to enable offline logins.<br>
> ><br>
> > Your TGT will eventually expire, but that hardly matters since you're<br>
> > offline. When you reconnect to the network, you can either run kinit<br>
> > manually, or for better user experience enable<br>
> > krb5_store_password_if_offline<br>
> > to keep your password in the kernel keyring and let sssd kinit on your<br>
> > behalf when it detects you've gone online again.<br>
> ><br>
> > --<br>
> > Manage your subscription for the Freeipa-users mailing list:<br>
> > <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> > Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
> ><br>
</div></div></blockquote></div><div><br></div>
</div></div>