政策评估需要很长时间

时间:2014-03-04 08:06:02

标签: java ldap openam

我正在使用OpenAM 9.5.3进行身份验证和授权。对于授权,我在顶级域下设置了两个策略(在设置中只有域)。每个策略都有两个规则(URL策略代理)和一个主题(OpenAM标识主题)。主题包含两个LDAP组。例如:

Policy Name: my_policy
Rules:
   Rule1: some rule
   Rule2: some-other rule
Subject:
   Subject1: Contains two groups Group 1, Group 2. Total number of users,putting together is around 80.  Group 1 contains user A  who is notavailable in Group 2.

当用户A登录时,用户A对组2的授权需要很长时间 时间,大约3分钟。第2组只有40个用户。记录来自 策略日志文件http://pastebin.com/kXSUXQ5F。如下所示,它 需要2分钟才能完成评估。

**amPolicy:03/02/2014 09:34:52:592** AM PST: Thread[http-bio-8443-exec-12,5,main]
AMidentitySubject.isMember():user uuid = id=user-1,ou=user,dc=orgname,dc=com, subject uuid = id=group-2,ou=group,dc=orgname,dc=com
**amPolicy:03/02/2014 09:36:35:580** AM PST: Thread[http-bio-8443-exec-12,5,main]
AMIdentitySubject.isMember():userIdentity type IdType: user can be a member of subjectIdentityType IdType: group:membership=false

请注意,用户A对组1的授权会立即发生。

尝试谷歌搜索并进行了以下更改,

  1. 增加openAM服务器中的LDAP连接池大小,现在最小值为10,最大值为65
  2. 在代理中禁用了该属性com.sun.identity.agents.config.fetch.from.root.resource。现在将其设置为false,com.sun.identity.agents.config.fetch.from.root.resource = false

    3. 这些都没有减少主题评估的时间。我在google上找不到与此相关的任何其他内容。你能指点一下需要检查/调整的其他属性吗?如果您需要任何进一步的详细信息,请与我们联系。

    先谢谢, Veerabahu

1 个答案:

答案 0 :(得分:1)

OpenAM 9.5.3遭受AMIdentitySubject中的次优成员资格检查,请参阅https://bugster.forgerock.org/jira/browse/OPENAM-1964

升级时间......

相关问题
最新问题