[HREF-tech] eduGAIN vigyázat!!!
Kristof Bajnok
bajnokk at niif.hu
2014. Nov. 19., Sze, 07:42:39 CET
Kedves kollégák,
*Kérem, ezt a levelet minden SimpleSAMLphp-t üzemeltető nagyon
figyelmesen olvassa el! Esetükben valószínű, hogy AZONNALI beavatkozás
szükséges, különben használhatatlanná válik az IdP/SP.*
A héten az UKFederation az eduGAIN szempontjából átváltott opt-out
modellre. Ez egyrészt megoldott egy szerencsétlen féloldalas helyzetet,
ami azt jelentette, hogy az angol SP-knél kiválaszthatóak voltak a
magyar eduGAIN-es IdP-k, de a magyar IdP nem tudott semmit az SP-ről.
Másrészt viszont megnövelte az eduGAIN-ben részt vevő entitások számát.
Több, mint egy nagyságrenddel: 1477 új entitás került be (most több,
mint 2000 van benne). Ez a metadata XML méretét 17 MB-osra hizlalta.
Tapasztalataink szerint a Shibboleth SP minden további nélkül elboldogul
a nagy XML-lel. A Shibboleth IdP-vel kapcsolatban hallottunk
partnerektől visszajelzéseket, hogy ahol korlátozott volt a JVM által
használható memória, ott a feldolgozás során kifutottak belőle
("java.lang.OutOfMemoryError"), de ez a probléma általában kezelhető.
Sürgős beavatkozni való a SimpleSAMLphp esetében van, ezek közül is
azoknál, akik benne vannak az eduGAIN-ben. Sajnos a PHP nagyon nem
hatékonyan kezeli az XML-eket, emiatt a feldolgozás memória és
futásiidő-igénye négyzetesen arányos az entitások számával.
A simplesaml kétféle módon tud metaadatokat frissíteni:
1) a cron.php-t a webszerveren keresztül meghívva [1];
2) a metarefresh programot közvetlenül meghívva [2].
Az 1) megoldás jóval egyszerűbb, de aki az eduGAIN metaadatokat is
feldolgozza, az csak a 2)-t használhatja! Az 1)-ben leírt megoldás nem
fog működni, és lehetséges, hogy a többi (sokkal kisebb) metadata fájl
feldolgozását is lehetetlenné teszi, ezáltal az IdP/SP működése megállhat!
Tehát aki használ eduGAIN-t SimpleSAMLphp-val, az győződjön meg arról,
hogy a 2) megoldás van nála beállítva. A futási idő így kb. 20 perc egy
közepes méretű virtuális gépen futtatva.
A dokumentációt és a javasolt megoldást a későbbiekben aktualizálni
fogjuk, de addig is, míg ezzel elkészülünk, fontos, hogy minden
simpleSAMLphp példány, amely eduGAIN-t használ, AZONNAL álljon át
metarefresh használatára!
Együttműködéseteket köszönjük,
Kristóf
[1]
https://wiki.niif.hu/SSP_QuickStart#Metadata_be.C3.A1ll.C3.ADt.C3.A1sa_.28IdP_.C3.A9s_SP_is.29
[2]
https://wiki.niif.hu/SSP_QuickStart#Metarefresh_webszerver_n.C3.A9lk.C3.BCl
További információk a(z) HREF-tech levelezőlistáról