我正在使用 OpenAM 9.5.3 进行身份验证和授权。对于授权,我在顶级领域(仅设置中的领域)下设置了两个策略。每个策略都有两个规则(URL 策略代理)和一个主题(OpenAM 身份主题)。该主题包含两个 LDAP 组。例如:
Policy Name: my_policy
Rules:
Rule1: some rule
Rule2: some-other rule
Subject:
Subject1: Contains two groups Group 1, Group 2. Total number of users,putting together is around 80. Group 1 contains user A who is notavailable in Group 2.
当用户 A 登录时,用户 A 对组 2 的授权需要很长时间 时间,3分钟左右。第 2 组只有 40 个用户。记录来自的语句 策略日志文件,http://pastebin.com/kXSUXQ5F 。如下所示,它 评估需要 2 分钟才能完成。
**amPolicy:03/02/2014 09:34:52:592** AM PST: Thread[http-bio-8443-exec-12,5,main]
AMidentitySubject.isMember():user uuid = id=user-1,ou=user,dc=orgname,dc=com, subject uuid = id=group-2,ou=group,dc=orgname,dc=com
**amPolicy:03/02/2014 09:36:35:580** AM PST: Thread[http-bio-8443-exec-12,5,main]
AMIdentitySubject.isMember():userIdentity type IdType: user can be a member of subjectIdentityType IdType: group:membership=false
请注意,用户 A 对组 1 的授权会立即发生。
尝试通过谷歌搜索并进行以下更改,
- 增加了 openAM 服务器中的 LDAP 连接池大小,现在最小值为 10,最大值为 65
- 在代理中禁用了属性 com.sun.identity.agents.config.fetch.from.root.resource。现在将其设置为 false,com.sun.identity.agents.config.fetch.from.root.resource = false
这些都没有减少受试者评估的时间。我在谷歌搜索上没有找到任何与此相关的内容。您能否指出需要检查/调整的其他属性?如果您需要更多详细信息,请告诉我。
提前致谢, 维拉巴胡
最佳答案
OpenAM 9.5.3 在 AMIdentitySubject 中遭受次优成员资格检查,请参阅 https://bugster.forgerock.org/jira/browse/OPENAM-1964
是时候升级了...
关于java - 政策评估需要较长时间,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22166202/