On Thu, Jul 22, 2010 at 3:39 PM, Simo Sorce <span dir="ltr"><<a href="mailto:ssorce@redhat.com">ssorce@redhat.com</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
On Thu, 22 Jul 2010 15:30:23 -0400<br>
<div class="im">Scott Duckworth <<a href="mailto:sduckwo@clemson.edu">sduckwo@clemson.edu</a>> wrote:<br>
<br>
> On Thu, Jul 22, 2010 at 11:59 AM, Simo Sorce <<a href="mailto:ssorce@redhat.com">ssorce@redhat.com</a>><br>
> wrote:<br>
><br>
> > On Thu, 22 Jul 2010 11:10:25 -0400<br>
> > Scott Duckworth <<a href="mailto:sduckwo@clemson.edu">sduckwo@clemson.edu</a>> wrote:<br>
> ><br>
> > > I removed all files from /var/lib/sss/db/ and restarted sssd.<br>
> > > Same behavior.  nscd is disabled, so I don't think it's caching<br>
> > > at any level.<br>
> > ><br>
> > > Here is what I ran:<br>
> > ><br>
> > > [root@duck2 ~]# getent passwd sduckwo<br>
> > > sduckwo:*:45265:10000:Scott Duckworth:/home/sduckwo:/bin/bash<br>
> > > [root@duck2 ~]# groups sduckwo<br>
> > > sduckwo : cuuser<br>
> > > [root@duck2 ~]# getent group coes_socunix<br>
> > > coes_socunix:*:120105:sduckwo<br>
> ><br>
> ><br>
> I should add to this, that what I expected to see is this (from one<br>
> of the RHEL boxes using nss_ldap):<br>
><br>
> [root@potter commands]# groups sduckwo<br>
> sduckwo : cuuser coes_dpa coes_socunix coes_web_cs coes_web_fx<br>
<br>
</div>If you log in as sduckwo you should just see that.<br>
The same if you do "id sduckwo"<br></blockquote><div><br>No go...<br><br>[root@duck2 ~]# service sssd stop<br>[root@duck2 ~]# rm -f /var/lib/sss/db/*<br>[root@duck2 ~]# service nscd stop<br>[root@duck2 ~]# service sssd start<br>
Starting sssd:                                             [  OK  ]<br>[root@duck2 ~]# id sduckwo<br>uid=45265(sduckwo) gid=10000(cuuser) groups=10000(cuuser)<br>[root@duck2 ~]# su - sduckwo<br>[16:05:24] sduckwo@duck2:~ [1] id<br>
uid=45265(sduckwo) gid=10000(cuuser) groups=10000(cuuser)<br>[16:05:26] sduckwo@duck2:~ [2] groups<br>cuuser<br><br>I'm unable to actually login due to pam_sss not working (see another branch of this thread).<br><br></div>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;"><div><div class="h5">
</div></div><div class="im">> Of cours when a user logs in its information (including its group<br>
> > membership) is refreshed and validated, so at login time the<br>
> > membership is correctly updated for that user across all its groups.<br>
> ><br>
><br>
> This seems to contradict your statement above, and also the behavior<br>
> I'm seeing.  It's not picking up secondary group memberships unless<br>
> they've already been cached, either through an explicit getent or,<br>
> presumably (if it ever finishes), via enumeration.<br>
<br>
</div>Your configuration showed that enumeration is disabled (as it should<br>
be), have you changed that ?<br></blockquote><div><br>I did enable enumeration per what I thought was your previous suggestion.  I've now disabled it again.  To be clear, my current sssd.conf is:<br><br>[sssd]<br>config_file_version = 2<br>
reconnection_retries = 3<br>sbus_timeout = 30<br>services = nss, pam<br>domains = CLEMSONU<br>[nss]<br>debug_level = 7<br>filter_groups = root<br>filter_users = root<br>reconnection_retries = 3<br>entry_cache_timeout = 1<br>
entry_cache_nowait_timeout = 1<br>[pam]<br>debug_level = 7<br>reconnection_retries = 3<br>[domain/CLEMSONU]<br>debug_level = 20<br>enumerate = False<br>cache_credentials = False<br>id_provider = ldap<br>auth_provider = ldap<br>
ldap_schema = rfc2307bis<br>chpass_provider = ldap<br>min_id = 1000<br>ldap_uri = ldaps://<a href="http://clemsonuldap.clemson.edu">clemsonuldap.clemson.edu</a><br>ldap_id_use_start_tls = False<br>ldap_tls_cacertdir = /etc/openldap/cacerts<br>
tls_reqcert = demand<br>ldap_default_bind_dn = cn=CoESProxy,ou=proxyUsers,o=CLEMSONU<br>ldap_default_authtok_type = password<br>ldap_default_authtok = xxxxxx<br>ldap_search_base = ou=SoC,ou=CES,o=CLEMSONU<br>ldap_user_search_base = o=CLEMSONU<br>
ldap_group_search_base = o=CLEMSONU<br>ldap_user_shell = coesLoginShell<br>ldap_user_gecos = fullName<br>ldap_user_fullname = fullName<br>ldap_pwd_policy = none<br><br>and /etc/openldap/ldap.conf is:<br><br>DEREF           always<br>
URI ldaps://<a href="http://clemsonuldap.clemson.edu">clemsonuldap.clemson.edu</a><br>BASE ou=SoC,ou=CES,o=CLEMSONU<br>TLS_CACERTDIR /etc/openldap/cacerts<br> <br></div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

If you are witnessing long dealys on login then you are hitting the<br>
initgroups problem we are going to fix shortly.<br></blockquote><div><br>I believe the long delays were caused by enumeration.  There are no such delays with enumeration disabled.<br></div></div>