Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste ÜberarbeitungBeide Seiten der Revision | |||
playground:playground [2015/03/19 20:35] – Externe Bearbeitung 127.0.0.1 | playground:playground [2016/07/14 09:58] – Martin Lunze | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== PlayGround ====== | ====== PlayGround ====== | ||
+ | ===== LDAP-Verbindung ===== | ||
+ | Die aktuelle IdP-Version (3.2.1) basiert auf [[http:// | ||
+ | Das heist im Speziellen, dass Shibboleth eine definierte Anzahl an Verbindungen zum LDAP-Dienst aufrecht erhält. | ||
+ | Vorteil dabei ist, dass zum Zeitpunkt des Logins eines Nutzers nicht erst eine Verbindung zum LDAP aufgebaut werden muss, sondern dieser sich ohne Verzögerung sofort authentifizieren kann. (Performance-Verbesserung) | ||
+ | Wenn aus welchen Gründen auch immer diese Verbindung beendet wird, so registriert Shibboleth dies und baut selbstständig eine neue auf. | ||
+ | Dies kann z.B. auftreten wenn der LDAP-Server die Verbindungen nach einer bestimmten " | ||
+ | Im Großen und Ganzen kann man dies alles über ein paar [[https:// | ||
+ | |||
+ | <file xml conf/ | ||
+ | # LDAP pool configuration, | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | </ | ||
+ | |||
+ | Nun kann es in Einzelfällen jedoch dazu kommen, dass die Verbindung zwar erhalten bleibt, jedoch in einer definierten Zeit keine Antwort vom LDAP zurück kommt. (z.B. bei erhöhtem Load) | ||
+ | Dies führt letztendlich dazu, dass sich Nutzer nicht mehr am IdP einloggen können wenn dieser die maximale Anzahl an Verbindungen erreicht hat. | ||
+ | |||
+ | Ältere Versionen vom IdP haben hingegen keine Verbindungen offen gehalten, sondern diese erst geöffnet, wenn sich ein Nutzer einloggt. | ||
+ | Die maginale Verzögerung beim Aufbau der Verbindungen sollte aus Sicht des Nutzers nicht zu spüren sein und spätestens dann vertretbar sein, wenn solch ein Problem-Fall eintritt. | ||
+ | |||
+ | Um nun zu diesem Verhalten zu wechseln müssen lediglich zwei kleine Änderungen in der conf/ | ||
+ | |||
+ | <file xml conf/ | ||
+ | <!-- ... --> | ||
+ | |||
+ | <!-- Authentication handler --> | ||
+ | <bean id=" | ||
+ | <!-- | ||
+ | <bean id=" | ||
+ | --> | ||
+ | <bean id=" | ||
+ | <bean id=" | ||
+ | p: | ||
+ | <bean id=" | ||
+ | <bean id=" | ||
+ | |||
+ | <!-- ... --> | ||
+ | |||
+ | <!-- Bind Search Configuration --> | ||
+ | <bean name=" | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | <bean id=" | ||
+ | p: | ||
+ | p: | ||
+ | <!-- | ||
+ | <bean id=" | ||
+ | p: | ||
+ | p: | ||
+ | --> | ||
+ | <bean id=" | ||
+ | p: | ||
+ | <bean id=" | ||
+ | p: | ||
+ | <bean id=" | ||
+ | <bean id=" | ||
+ | <bean id=" | ||
+ | < | ||
+ | <bean class=" | ||
+ | < | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | <!-- ... --> | ||
+ | </ |