samba – AD组成员身份更改未反映在winbind信息中

我已经继承了几个RHEL5服务器,这些服务器设置为通过winbind对其AD帐户的用户进行身份验证.一切正常,直到我更新AD中的组成员身份.对于某些用户,更改永远不会进入“groups”命令的输出,尽管它们会反映在“getent group< groupname>”的输出中.

例如,请考虑以下事项：

[root @hcc1pl1~] #group plubans
plubans：域用户系统基础架构开发
[root @hcc1pl1~] #getent group q1esb
q1esb：*：23136：q1qai,q1prodi

如果我将自己添加到winbind正在使用的DC上的q1esb,您可以看到成员资格已更新：

[root @hcc1pl1~] #lsof -i | grep winbind
winbindd 31339 root 17u IPv4 63817934 TCP hcc1pl1：56541-> hcnas01：microsoft-ds(ESTABLISHED)
winbindd 31339 root 21u IPv4 63817970 TCP hcc1pl1：53622-> hcnas01：ldap(ESTABLISHED)
[root @hcc1pl1~] #ldapsearch -u -x -LLL -h hcnas01 -D“plubans@XXX.XXX”-W -b“CN = Peter Lubans,OU =标准用户帐户,OU =用户,OU = XXX,DC = XXX,DC = XXX“”(sAMAccountName = *)“memberOf
输入LDAP密码：
…
memberOf：CN = q1esb,OU =安全组,OU =组,DC = XXX
…

请注意,winbind在没有缓存的情况下运行(-n标志)：

[root @hcc1pl1~]#ps -ef | grep winbind
root 31339 1 0 13:50？ 00:00:00 winbindd -n
root 31340 31339 0 13:50？ 00:00:00 winbindd -n
根31351 31339 0 13:50？ 00:00:00 winbindd -n
root 31352 31339 0 13:50？ 00:00:00 winbindd -n
root 31353 31339 0 13:50？ 00:00:00 winbindd -n

现在getent显示该组具有正确的成员：

[root @hcc1pl1~] #getent group q1esb
q1esb：*：23136：q1qai,plubans,q1prodi

但更新后的会员资格未反映在我的帐户详细信息中：

[root @hcc1pl1~] #group plubans
plubans：域用户系统基础架构开发
[root @hcc1pl1~]#

这个问题的真正令人担忧的部分是它适用于这台机器上的其他帐户,以及我从头开始配置的机器上的帐户.

有任何想法吗？