<div dir="ltr"><div></div><div><br></div><div>My specific requirement for having "enumerate=TRUE" was , we have a build server with the jenkins set up.<br></div><div>And for authentication jenkins tries to get the localusers on the system. <br></div><div><br></div><div>I should be able to get through that by configuring Jenkins to use LDAP instead of the local users.<br><br></div><div>But  are there any other reasons for recommending against "enumerate=TRUE", i recall reading somewhere as well not to use this specific setting.<br><br></div><div><br><br></div><div>Thanks,<br></div><div>Rakesh<br></div><div><br></div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jul 22, 2016 at 2:11 PM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Fri, Jul 22, 2016 at 10:28:30AM +0200, Lukas Slebodnik wrote:<br>
> On (22/07/16 13:25), Rakesh Rajasekharan wrote:<br>
> >Hi,<br>
> ><br>
> >I am running freeipa version 4.2.0 and sssd version 1.13.0<br>
> ><br>
> >I have set "enumerate=True" to show IPA users as well in getent passwd.<br>
> ><br>
> >However, the getent passwd continues to show users that have got deleted as<br>
> >well.<br>
> ><br>
> >Heres my sssd config file<br>
> >[domain/<a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a>]<br>
> >enumerate = TRUE<br>
> >krb5_auth_timeout = 30<br>
> ><br>
> >cache_credentials = True<br>
> >krb5_store_password_if_offline = True<br>
> >ipa_domain = <a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a><br>
> >id_provider = ipa<br>
> >auth_provider = ipa<br>
> >access_provider = ipa<br>
> >ldap_tls_cacert = /etc/ipa/ca.crt<br>
> >ipa_hostname = 10.16.11.134<br>
> >chpass_provider = ipa<br>
> >ipa_server = _srv_, <a href="http://ipa-master-int.xyz.com" rel="noreferrer" target="_blank">ipa-master-int.xyz.com</a><br>
> >dns_discovery_domain = <a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a><br>
> >[sssd]<br>
> >services = nss, sudo, pam, ssh<br>
> >config_file_version = 2<br>
> ><br>
> >domains = <a href="http://xyz.com" rel="noreferrer" target="_blank">xyz.com</a><br>
> >[nss]<br>
> >homedir_substring = /home<br>
> ><br>
> >[pam]<br>
> ><br>
> >[sudo]<br>
> ><br>
> >[autofs]<br>
> ><br>
> >[ssh]<br>
> ><br>
> >[pac]<br>
> ><br>
> >[ifp]<br>
> ><br>
> >Is this an expected behaviour or am i missing something in my config<br>
> ><br>
> When user is removed from IPA then it is not automatically removed from sssd.<br>
> SSSD has few levels of caches which are indirectly used by "getent passwd".<br>
> The user or group will be removed after next look-up in IPA which<br>
> is usually after extpiration of entry in sssd cache.<br>
<br>
</div></div>Deleted users are only detected when they are looked up directly or when<br>
a cleanup task is ran, because in order to avoid fetching the whole<br>
directory all the time, enumeration tries to only download entries with<br>
higher lastUSN than seen last time. So as Lukas said, it can be expected<br>
that entries show up.<br>
<br>
I think the most important lesson here should be don't use<br>
enumerate=true" :-)<br>
<div class="HOEnZb"><div class="h5"><br>
><br>
> Another way how to force removing entries from sssd cache is<br>
> to authenticate with user. SSSD fetch latest data from LDAP/IPA<br>
> with each authentication for security reasons.<br>
><br>
> You can also invalidate user in sssd cache "sss_cache -u someuser"<br>
> and SSSD will detect removed user in IPA after attempt to refresh data<br>
> in sssd cache.<br>
><br>
> LS<br>
><br>
</div></div><span class="HOEnZb"><font color="#888888">> --<br>
> Manage your subscription for the Freeipa-users mailing list:<br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
<br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div>