<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">What will happen if laptop haven't turn on for a long time and ticket expired with cache and store password enabled? Does user unable to login after expired?</div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 20, 2014 at 5:10 PM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Thu, Nov 20, 2014 at 05:04:02PM +0800, Thomas Lau wrote:<br>
> Does anyone know what's the behavior look like if a mobile user (laptop)<br>
> being disconnected from Kerberos for too long even cache is enabled by<br>
> default in our environment?<br>
<br>
</div></div>SSSD caches the user data and if cache_credentials is enabled, then also<br>
a salted password hash to enable offline logins.<br>
<br>
Your TGT will eventually expire, but that hardly matters since you're<br>
offline. When you reconnect to the network, you can either run kinit<br>
manually, or for better user experience enable krb5_store_password_if_offline<br>
to keep your password in the kernel keyring and let sssd kinit on your<br>
behalf when it detects you've gone online again.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br><div><br></div>
</div></div>