Hello.
We're having some problems with replication and password changes. Let me
explain... In our institution we are using Shibboleth to provide SSO to the
users. The credentials are stored in OpenLDAP, but due to the high demand
(100 auths/second) and the high volume (more than 700K users), we had to
split it in three servers:
- one is the producer, which receives all of the changes (both data and
password changes),
- two are the consumers, sync'd with the producer via syncrepl.
The two consumers are behind a load balancer and are used to perform the
BINDs and the user lookup.
The problem that we are facing is that in some cirscunstances (maybe high
load, high traffic?) the syncrepl lasts more than expected, and that causes
the next situation:
1. an user changes its password, the object changes its modifyTimestamp
to T1
2. before the syncrepl gets to replicate that change, the user tries to
authenticate with the new password, the balancer assigns one of the
consumers (say C1), tries to bind, but the password is not yet changed, so
it fails recording one pwdFailureTime and updating its modifyTimestamp to T2
3. when syncrepl tries to update the object in C1, T2 is older than T1
so it refuses to change the object ("dn_callback : new entry is older
than ours cn=XXXXX,dc=acces,dc=uoc,dc=edu ours
20230313155537.264968Z#000000#00d#000000, new
20230313155506.235663Z#000000#00b#000000 ")
Resulting in one user with the password changed in the provider and in only
one of the consumers.
Have you found the same problem? Maybe is there something wrong in our
setup?
Thanks a lot.
------------------------------
Manolo García
Arquitecte de Solucions
Universitat Oberta de Catalunya
689 88 30 93 | mgarciaal@uoc.edu
[image: Universitat Oberta de Catalunya]
--
INFORMACIÓ SOBRE PROTECCIÓ DE DADES DE LA UNIVERSITAT OBERTA DE
CATALUNYA (UOC)
Us informem que les vostres dades identificatives i les
contingudes en els missatges electrònics i fitxers adjunts es poden
incorporar a les nostres bases de dades amb la finalitat de gestionar les
relacions i comunicacions vinculades a la UOC, i que es poden conservar
mentre es mantingui la relació. Si ho voleu, podeu exercir el dret a
accedir a les vostres dades, rectificar-les i suprimir-les i altres drets
reconeguts normativament adreçant-vos a l'adreça de correu emissora o a
fuoc_pd@uoc.edu
mailto:fuoc_pd@uoc.edu.
Aquest missatge i qualsevol
fitxer que porti adjunt, si escau, tenen el caràcter de confidencials i
s'adrecen únicament a la persona o entitat a qui s'han enviat.
Així
mateix, posem a la vostra disposició un delegat de protecció de dades que
no només s'encarregarà de supervisar tots els tractaments de dades de la
nostra entitat, sinó que us podrà atendre per a qualsevol qüestió
relacionada amb el tractament de dades. La seva adreça de contacte és
dpd@uoc.edu
mailto:dpd@uoc.edu.
INFORMACIÓN SOBRE PROTECCIÓN DE DATOS DE
LA UNIVERSITAT OBERTA DE CATALUNYA (UOC)
Os informamos de que vuestros
datos identificativos y los contenidos en los mensajes electrónicos y
ficheros adjuntos pueden incorporarse a nuestras bases de datos con el fin
de gestionar las relaciones y comunicaciones vinculadas a la UOC, y de que
pueden conservarse mientras se mantenga la relación. Si lo deseáis, podéis
ejercer el derecho a acceder a vuestros datos, rectificarlos y suprimirlos
y otros derechos reconocidos normativamente dirigiéndoos a la dirección de
correo emisora o a fuoc_pd@uoc.edu
mailto:fuoc_pd@uoc.edu.
Este mensaje y
cualquier fichero que lleve adjunto, si procede, tienen el carácter de
confidenciales y se dirigen únicamente a la persona o entidad a quien se
han enviado.
Así mismo, ponemos a vuestra disposición a un delegado de
protección de datos que no solo se encargará de supervisar todos los
tratamientos de datos de nuestra entidad, sino que podrá atenderos para
cualquier cuestión relacionada con el tratamiento de datos. Su dirección de
contacto es dpd@uoc.edu
mailto:dpd@uoc.edu.
UNIVERSITAT OBERTA DE
CATALUNYA (UOC) DATA PROTECTION INFORMATION
Your personal data and the data
contained in your email messages and attached files may be stored in our
databases for the purpose of maintaining relations and communications
linked to the UOC, and the data may be stored for as long as these
relations and communications are maintained. If you so wish, you can
exercise your rights to access, rectification and erasure of your data, and
any other legally held rights, by writing to the sender’s email address or
to fuoc_pd@uoc.edu
http://fuoc_pd@uoc.edu.
This message and, where
applicable, any attachments are confidential and addressed solely to the
individual or organization they were sent to.
The UOC has a data protection
officer who not only supervises the data processing carried out at the
University, but who will also respond to any questions you may have about
this data processing. You can contact our data protection officer by
writing to dpd@uoc.edu
http://dpd@uoc.edu.
