apache desempenho ruim com autenticação Kerberos

Navegue suas respostas
2

Eu tenho uma instância do apache que usa o kerberos para SSO com um aplicativo interno em execução. No entanto, o desempenho é muito ruim.

Eu acredito em um despejo de tcp que quando um usuário acessa alguns dos nossos formulários dojo no aplicativo que o apache está fazendo chamadas para o nosso KDC para garantir que o usuário tenha permissões para esses arquivos.

Como a biblioteca do dojo é bastante robusta, isso está demorando muito para ser executada e impactando seriamente o desempenho de formulários baseados no dojo para carregar.

Estamos usando mod_auth_kerb e atualmente nosso arquivo httpd.conf tem esta aparência. 

<Directory "/opt/myapp/public">
    AllowOverride All
    Order allow,deny
    Allow from all
    AuthType Kerberos
    AuthName KerberosLogin
    KrbServiceName HTTP/[email protected]
    KrbMethodNegotiate On
    KrbMethodK5Passwd On
    KrbAuthRealms MYDOMAIN.COM
    Krb5KeyTab /etc/krb5.keytab
    require valid-user
</Directory>

Existe um comando que eu posso colocar no arquivo httpd.conf ou em um arquivo .htaccess que eu coloquei no diretório javascript que contém a biblioteca do dojo, para dizer ao apache para não autenticar o acesso ao diretório?

Acredito que isso melhorará o desempenho do site em 100 vezes. (Sim, é mesmo assim tão ruim)

Obrigado

    
por Grant Collins 09.11.2009 / 10:41

4 respostas

2

Isso é uma tentativa no escuro, mas você verificou se o DNS está funcionando bem no servidor web? Se não puder resolver todas as coisas que precisa na primeira tentativa, o tempo expirará e irá para o segundo servidor listado no resolv.conf, que pode ser o responsável pelo sucesso após o primeiro uso.

    
por 11.12.2009 / 15:59
0

Eu duvido que seja algo relacionado à autenticação do Krb. Uma vez autenticado mod_auth_kerb se comporta como autenticação básica. O Apache criará sessão para você e você não precisará se autenticar novamente toda vez que carregar um arquivo.

Sugiro que você instale o firefox com o complemento firebug e ative o painel "Net". Isso lhe dará uma visão valiosa do que seu navegador está fazendo.

    
por 11.12.2009 / 11:46
0

é necessário proteger sua biblioteca do dojo via Kerberos? Caso contrário, você poderia usar outro Alias para servir esses arquivos e não ser protegido pelo Kerberos. Isso se aplica a qualquer outro arquivo estático com certeza.

    
por 22.03.2014 / 14:58
-1

Se realmente o DNS está causando o problema e não a própria autenticação Kerberos, por que não ignorá-lo adicionando esse endereço ao arquivo hosts?

    
por 13.12.2009 / 18:00

Tags

Tela de login do Windows 7 Provedor de pesquisa padrão no Internet Explorer 8 Via GP?