[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00720] Re: IdPの冗長化について
- Subject: [upki-fed:00720] Re: IdPの冗長化について
- Date: Wed, 27 Nov 2013 18:06:14 +0900
- From: Tatsumi Hosokawa <xxxxxxxx@xxxxxxxxxxxxxx>
土屋様
情報ありがとうございます。
実は「何とかなりそうだな」という見込みのもとに、
既にロードバランサー配下に、すっぴんのShibbolethサーバを3台、
その下にさらにロードバランサーをかまして、OpenLDAPサーバを2台構築してしまいました。
(OpenLDAPサーバを1台落とした場合ののShibbolethからの再接続にちょっと苦労しましたが、
なんとか比較的短時間で切り替えてくれるようになりました)
そちらのスライドは確か以前拝見していたと思うのですが、
冗長化に関する部分は見逃していました。ありがとうございます。
何とかなりそうという事例を紹介いただき、少し安心しました。
細川
(2013/11/27 15:41), TSUCHIYA Masatoshi wrote:
> 豊橋技術科学大学の土屋です.
>
> 他の方から回答がないようなので.
>
>>> On Tue, 01 Oct 2013 17:21:31 +0900
>>> xxxxxxxx@xxxxxxxxxxxxxx (Tatsumi Hosokawa) said as follows:
>
>> 本運用開始前に、IdPの冗長化について検討しているのですが、前提としてSSLの
>> ハードウェアアクセラレータが利用できる環境にあり、stickyなサーバの割り振
>> りは可能です。
>
>> この状況で、状態情報の共有に関して検討してみたのですが、
>
>> 「もし滅多にShibbolethのサーバ落ちないのであれば、性能に影響を与える状態
>> 情報の共有をせずに、その時だけ再認証してもらえばいいのでは?」
>
>> という疑問がふつふつと持ち上がってきたのですが、この認識は間違っているで
>> しょうか?
>
> http://www.nii.ac.jp/?action=common_download_main&upload_id=800
>
> の p.12 に記述してありますが,本学では IdP を active-standby の2台構成に
> していて,サーバが切り替わったときのみ再認証してもらうという運用をしてい
> ます.
>
>> おそらく、利用しているアプリケーションが、冗長サーバのダウン時に即座に使
>> えなくなる、というわけではないのではないかと想像するのですが、その辺りど
>> のような感じなのでしょう?
>
> ある1つの SP を使い続けているだけなら,セッションタイムアウトまでは使える
> はずだと思います.
>
> 別の SP に切り替えると,その時点で IdP への問い合わせが発生して,再認証が
> 必要になるはずと思います.
>
--
慶應義塾ITC本部 細川達己 xxxxxxxx@xxxxxxxxxxxxxx
Tel. 03-5427-1685 Fax. 03-5427-1722