[upki-fed:00720] Re: IdPの冗長化について

[Tatsumi Hosokawa <xxxxxxxx@xxxxxxxxxxxxxx>]

土屋様

情報ありがとうございます。

実は「何とかなりそうだな」という見込みのもとに、
既にロードバランサー配下に、すっぴんのShibbolethサーバを3台、
その下にさらにロードバランサーをかまして、OpenLDAPサーバを2台構築してしまいました。
(OpenLDAPサーバを1台落とした場合ののShibbolethからの再接続にちょっと苦労しましたが、
 なんとか比較的短時間で切り替えてくれるようになりました)

そちらのスライドは確か以前拝見していたと思うのですが、
冗長化に関する部分は見逃していました。ありがとうございます。
何とかなりそうという事例を紹介いただき、少し安心しました。

細川

(2013/11/27 15:41), TSUCHIYA Masatoshi wrote:
> 豊橋技術科学大学の土屋です．
> 
> 他の方から回答がないようなので．
> 
>>> On Tue, 01 Oct 2013 17:21:31 +0900
>>> xxxxxxxx@xxxxxxxxxxxxxx (Tatsumi Hosokawa) said as follows:
> 
>> 本運用開始前に、IdPの冗長化について検討しているのですが、前提としてSSLの
>> ハードウェアアクセラレータが利用できる環境にあり、stickyなサーバの割り振
>> りは可能です。
> 
>> この状況で、状態情報の共有に関して検討してみたのですが、
> 
>> 「もし滅多にShibbolethのサーバ落ちないのであれば、性能に影響を与える状態
>> 情報の共有をせずに、その時だけ再認証してもらえばいいのでは？」
> 
>> という疑問がふつふつと持ち上がってきたのですが、この認識は間違っているで
>> しょうか？
> 
> http://www.nii.ac.jp/?action=common_download_main&upload_id=800
> 
> の p.12 に記述してありますが，本学では IdP を active-standby の2台構成に
> していて，サーバが切り替わったときのみ再認証してもらうという運用をしてい
> ます．
> 
>> おそらく、利用しているアプリケーションが、冗長サーバのダウン時に即座に使
>> えなくなる、というわけではないのではないかと想像するのですが、その辺りど
>> のような感じなのでしょう？
> 
> ある1つの SP を使い続けているだけなら，セッションタイムアウトまでは使える
> はずだと思います．
> 
> 別の SP に切り替えると，その時点で IdP への問い合わせが発生して，再認証が
> 必要になるはずと思います．
> 


-- 
慶應義塾ITC本部  細川達己  xxxxxxxx@xxxxxxxxxxxxxx
Tel. 03-5427-1685  Fax. 03-5427-1722