我使用OpenAM 9.5.3进行身份验证和授权。对于授权,我在顶级领域(设置中的唯一领域)下设置了两个策略。每个策略有两个规则(URL策略代理)和一个主题(OpenAM标识主题)。主题包含两个LDAP组。例如:
Policy Name: my_policy
Rules:
Rule1: some rule
Rule2: some-other rule
Subject:
Subject1: Contains two groups Group 1, Group 2. Total number of users,putting together is around 80. Group 1 contains user A who is notavailable in Group 2.
当用户A登录时,用户A对组2的授权需要很长时间时间,大约3分钟。第2组中只有40个用户策略日志文件,http://pastebin.com/kXSUXQ5F.如下所述完成评估需要2分钟。
**amPolicy:03/02/2014 09:34:52:592** AM PST: Thread[http-bio-8443-exec-12,5,main]
AMidentitySubject.isMember():user uuid = id=user-1,ou=user,dc=orgname,dc=com, subject uuid = id=group-2,ou=group,dc=orgname,dc=com
**amPolicy:03/02/2014 09:36:35:580** AM PST: Thread[http-bio-8443-exec-12,5,main]
AMIdentitySubject.isMember():userIdentity type IdType: user can be a member of subjectIdentityType IdType: group:membership=false
请注意,用户A针对组1的授权会立即发生。
为此尝试了谷歌搜索,并进行了以下更改,
- 增加了openAM服务器中的LDAP连接池大小,现在最小值为10,最大值为65
- 在代理中禁用了属性com.sun.identity.agents.config.etch.from.oot.resource。现在已将其设置为false,com.sun.iidentity.agentes.config.etch-from.oot-resource=false
这些都没有减少受试者评估的时间。我在谷歌上找不到任何其他与此相关的东西。你能为其他需要检查/调整的属性提供指针吗?如果你需要更多的细节,请告诉我。
提前感谢,Veerabahu
OpenAM 9.5.3在AMIdentitySubject中遭遇次优成员身份检查,请参阅https://bugster.forgerock.org/jira/browse/OPENAM-1964
是时候升级了。。。