Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Letzte Überarbeitung Beide Seiten der Revision
de:shibidp3userdepro [2017/08/22 14:58]
Martin Lunze angelegt
de:shibidp3userdepro [2017/08/22 15:16]
Martin Lunze
Zeile 299: Zeile 299:
  
 Danke noch mal an Steffen Hofmann (FU Berlin), der diese Datei zur Verfügung gestellt hat.\\ Danke noch mal an Steffen Hofmann (FU Berlin), der diese Datei zur Verfügung gestellt hat.\\
-Mit Hilfe des enthaltenen Predicate ist es uns möglich eine Entscheidung zu treffen ob es sich um einen Attribute-Query handelt oder nicht.\\ +Mit Hilfe des **enthaltenen Predicate** ist es uns möglich eine Entscheidung zu treffen ob es sich um einen **Attribute-Query** handelt oder nicht.\\ 
-Darauf aufbauend erstellen wir uns beliebige Activation Conditions, um die Erstellung und Freigabe von Attributen zu steuern.+Darauf aufbauend erstellen wir uns beliebige ​**Activation Conditions**, um die Erstellung und **Freigabe von Attributen** zu steuern.
  
 <file xml conf/​activation-conditions.xml>​ <file xml conf/​activation-conditions.xml>​
Zeile 342: Zeile 342:
 </​file>​ </​file>​
  
-Nun aktivieren wir die Bedingungen im Resolver, so dass die **normalen** Attribute **nur** noch bei einem normalen Login gebaut und an den Filter weitergereicht werden, aber nicht bei einem Query und dass das **schacUserStatus** Attribut **nur** noch bei einem Query erstellt ​wird.+Nun aktivieren wir die Bedingungen im Resolver.\\ 
 +Dadurch werden ​**normale** Attribute **nur** noch bei einem normalen Login gebaut und an den Filter weitergereicht werden, aber nicht bei einem Query.\\ 
 +Das **schacUserStatus** Attribut ​hingegen wird **nur** noch bei einem Query erstellt.
  
 <file xml conf/​attribute-resolver.xml>​ <file xml conf/​attribute-resolver.xml>​
Zeile 417: Zeile 419:
    * man gewährleistet,​ dass sich weiterhin Nutzer einloggen können    * man gewährleistet,​ dass sich weiterhin Nutzer einloggen können
  
-Alternativ besteht vielleicht die Möglichkeit einen separaten IdP aufzusetzen,​ der ausschließlich für die Abarbeitung von Querys zuständig ist.\\ +Alternativ besteht vielleicht die Möglichkeit einen **separaten IdP** aufzusetzen,​ der **ausschließlich** für die Abarbeitung von **Querys** zuständig ist.\\ 
-Dabei sollte sichergestellt sein, dass alle IdP-Server via Datenbank-Replikation den gleichen Datenbestand aufweisen!!!+Dabei sollte sichergestellt sein, dass alle IdP-Server via **Datenbank-Replikation** den gleichen Datenbestand aufweisen!!!
  
 Denkbare Schwellwerte für Fail2Ban wären: maximal 50 Queries innerhalb von 10 Sekunden (nicht getestet und abhängig von der Menge der zu prüfenden Nutzer) Denkbare Schwellwerte für Fail2Ban wären: maximal 50 Queries innerhalb von 10 Sekunden (nicht getestet und abhängig von der Menge der zu prüfenden Nutzer)
  • Zuletzt geändert: vor 12 Monaten