AD 组成员身份更改未反映在 winbind 信息中

Question

我继承了几个 RHEL5 服务器，这些服务器被设置为通过 winbind 对用户的 AD 帐户进行身份验证。一切正常，直到我更新 AD 中的组成员身份。对于某些用户，这些更改永远不会出现在“groups”命令的输出中，尽管它们反映在“getent group <groupname>”的输出中。

例如，请考虑以下情况：

[root@hcc1pl1 ~]# groups plubans
plubans : 域用户系统基础设施开发
[root@hcc1pl1 ~]# getent group q1esb
q1esb:*:23136:q1qai,q1prodi

如果我将自己添加到 winbind 正在使用的 DC 上的 q1esb，您可以看到成员资格已更新：

[root@hcc1pl1 ~]# lsof -i | grep的winbind的
winbindd服务31339根17U的IPv4 63817934 TCP hcc1pl1：56541-> hcnas01：微软-DS（建立）
winbindd服务31339根21U的IPv4 63817970 TCP hcc1pl1：53622-> hcnas01：LDAP（建立）
[根@ hcc1pl1〜]＃ldapsearch的-u -x -LLL -h hcnas01 -D "plubans@XXX.XXX" -W -b "CN=Peter Lubans,OU=标准用户账户,OU=Users,OU=XXX,DC=XXX,DC=XXX" "( sAMAccountName=*)" memberOf
输入 LDAP 密码:
...
memberOf: CN=q1esb,OU=Security Groups,OU=Groups,OU=XXX,DC=XXX,DC=XXX
...

请注意，winbind 在没有缓存的情况下运行（-n 标志）：

[root@hcc1pl1 ~]# ps -ef | grep winbind
root 31339 1 0 13:50 ? 00:00:00 winbindd -n
root 31340 31339 0 13:50 ? 00:00:00 winbindd -n
root 31351 31339 0 13:50 ? 00:00:00 winbindd -n
root 31352 31339 0 13:50 ? 00:00:00 winbindd -n
root 31353 31339 0 13:50 ? 00:00:00 winbindd -n

现在 getent 显示该组具有正确的成员：

[root@hcc1pl1 ~]# getent group q1esb
q1esb:*:23136:q1qai,plubans,q1prodi

但是更新后的会员资格并未反映在我的帐户详细信息中：

[root@hcc1pl1 ~]# 组 plubans
plubans : 域用户系统基础设施开发
[root@hcc1pl1 ~]#

这个问题真正令人烦恼的部分是它对于这台机器上的其他帐户以及我从头开始配置的机器上的帐户都可以正常工作。

有任何想法吗？

Answer 1

我唯一的想法（这是一个非常模糊的想法）是，它可能与与基础设施主机（负责跨域更新组成员身份）的通信有关。