[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00720] Re: IdPの冗長化について



土屋様

情報ありがとうございます。

実は「何とかなりそうだな」という見込みのもとに、
既にロードバランサー配下に、すっぴんのShibbolethサーバを3台、
その下にさらにロードバランサーをかまして、OpenLDAPサーバを2台構築してしまいました。
(OpenLDAPサーバを1台落とした場合ののShibbolethからの再接続にちょっと苦労しましたが、
 なんとか比較的短時間で切り替えてくれるようになりました)

そちらのスライドは確か以前拝見していたと思うのですが、
冗長化に関する部分は見逃していました。ありがとうございます。
何とかなりそうという事例を紹介いただき、少し安心しました。

細川

(2013/11/27 15:41), TSUCHIYA Masatoshi wrote:
> 豊橋技術科学大学の土屋です.
> 
> 他の方から回答がないようなので.
> 
>>> On Tue, 01 Oct 2013 17:21:31 +0900
>>> xxxxxxxx@xxxxxxxxxxxxxx (Tatsumi Hosokawa) said as follows:
> 
>> 本運用開始前に、IdPの冗長化について検討しているのですが、前提としてSSLの
>> ハードウェアアクセラレータが利用できる環境にあり、stickyなサーバの割り振
>> りは可能です。
> 
>> この状況で、状態情報の共有に関して検討してみたのですが、
> 
>> 「もし滅多にShibbolethのサーバ落ちないのであれば、性能に影響を与える状態
>> 情報の共有をせずに、その時だけ再認証してもらえばいいのでは?」
> 
>> という疑問がふつふつと持ち上がってきたのですが、この認識は間違っているで
>> しょうか?
> 
> http://www.nii.ac.jp/?action=common_download_main&upload_id=800
> 
> の p.12 に記述してありますが,本学では IdP を active-standby の2台構成に
> していて,サーバが切り替わったときのみ再認証してもらうという運用をしてい
> ます.
> 
>> おそらく、利用しているアプリケーションが、冗長サーバのダウン時に即座に使
>> えなくなる、というわけではないのではないかと想像するのですが、その辺りど
>> のような感じなのでしょう?
> 
> ある1つの SP を使い続けているだけなら,セッションタイムアウトまでは使える
> はずだと思います.
> 
> 別の SP に切り替えると,その時点で IdP への問い合わせが発生して,再認証が
> 必要になるはずと思います.
> 


-- 
慶應義塾ITC本部  細川達己  xxxxxxxx@xxxxxxxxxxxxxx
Tel. 03-5427-1685  Fax. 03-5427-1722