Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
playground:playground [2016/07/14 09:58] – Martin Lunze | playground:playground [2021/08/19 12:37] (aktuell) – Ralf Paffrath | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== | + | ====== |
- | ===== LDAP-Verbindung ===== | + | |
- | Die aktuelle IdP-Version (3.2.1) basiert auf [[http:// | + | |
- | Das heist im Speziellen, dass Shibboleth eine definierte Anzahl an Verbindungen zum LDAP-Dienst aufrecht erhält. | + | |
- | Vorteil dabei ist, dass zum Zeitpunkt des Logins eines Nutzers nicht erst eine Verbindung zum LDAP aufgebaut werden muss, sondern dieser sich ohne Verzögerung sofort authentifizieren kann. (Performance-Verbesserung) | + | |
- | Wenn aus welchen Gründen auch immer diese Verbindung beendet wird, so registriert Shibboleth dies und baut selbstständig eine neue auf. | ||
- | Dies kann z.B. auftreten wenn der LDAP-Server die Verbindungen nach einer bestimmten " | ||
- | Im Großen und Ganzen kann man dies alles über ein paar [[https:// | ||
- | |||
- | <file xml conf/ | ||
- | # LDAP pool configuration, | ||
- | # | ||
- | # | ||
- | # | ||
- | # | ||
- | # | ||
- | # | ||
- | # | ||
- | # | ||
- | # | ||
- | </ | ||
- | |||
- | Nun kann es in Einzelfällen jedoch dazu kommen, dass die Verbindung zwar erhalten bleibt, jedoch in einer definierten Zeit keine Antwort vom LDAP zurück kommt. (z.B. bei erhöhtem Load) | ||
- | Dies führt letztendlich dazu, dass sich Nutzer nicht mehr am IdP einloggen können wenn dieser die maximale Anzahl an Verbindungen erreicht hat. | ||
- | |||
- | Ältere Versionen vom IdP haben hingegen keine Verbindungen offen gehalten, sondern diese erst geöffnet, wenn sich ein Nutzer einloggt. | ||
- | Die maginale Verzögerung beim Aufbau der Verbindungen sollte aus Sicht des Nutzers nicht zu spüren sein und spätestens dann vertretbar sein, wenn solch ein Problem-Fall eintritt. | ||
- | |||
- | Um nun zu diesem Verhalten zu wechseln müssen lediglich zwei kleine Änderungen in der conf/ | ||
- | |||
- | <file xml conf/ | ||
- | <!-- ... --> | ||
- | |||
- | <!-- Authentication handler --> | ||
- | <bean id=" | ||
- | <!-- | ||
- | <bean id=" | ||
- | --> | ||
- | <bean id=" | ||
- | <bean id=" | ||
- | p: | ||
- | <bean id=" | ||
- | <bean id=" | ||
- | |||
- | <!-- ... --> | ||
- | |||
- | <!-- Bind Search Configuration --> | ||
- | <bean name=" | ||
- | < | ||
- | < | ||
- | </ | ||
- | <bean id=" | ||
- | p: | ||
- | p: | ||
- | <!-- | ||
- | <bean id=" | ||
- | p: | ||
- | p: | ||
- | --> | ||
- | <bean id=" | ||
- | p: | ||
- | <bean id=" | ||
- | p: | ||
- | <bean id=" | ||
- | <bean id=" | ||
- | <bean id=" | ||
- | < | ||
- | <bean class=" | ||
- | < | ||
- | </ | ||
- | </ | ||
- | </ | ||
- | |||
- | <!-- ... --> | ||
- | </ |