Untergeordnete Seiten
  • Crowd Dokumentation - Das Caching für ein LDAP-Verzeichnis konfigurieren
Zum Ende der Metadaten springen
Zum Anfang der Metadaten


Crowd verwaltet einen Cache mit LDAP-Verzeichnis-Informationen, die in Crowds Datenbank gesichert sind, um schnelle, wiederkehrende Zugriffe auf die Benutzer- und Gruppendaten sicherzustellen. Atlassian nennt das "datenbank-gestütztes LDAP-Caching".

Diese Seite beschreibt das Caching von Benutzer- und Gruppeninformationen in Crowds Datenbank. Für eine Beschreibung der anderen Caching-Typen, die Crowd bietet, lesen Sie bitte die Seite "Überblick über das Caching".


Passwörter werden nicht zwischengespeichert.

Crowds Cache speichert keine Benutzerpasswörter. Alle Authentifizierungen werden durch Aufrufe am LDAP-Verzeichnis ausgeführt.


Die Features von LDAP-Caching in Crowd

Für alle LDAP-Verzeichnisse mit aktiviertem Caching wird Crowd einen aktuellen Cache der vom LDAP-Verzeichnis erhaltenen Benutzer- und Gruppeninformationen speichern. Die Verwendung des Caches sollte die Performance verbessern, vor allem bei Verzeichnissen, die Ihre Site verlangsamen.

(Info) Bitte lesen Sie die Hinweise unten, besonders die im Bezug auf die Anzahl der Benutzer, für die das Caching optimiert ist.

Zusammenfassung der Caching-Funktionalität:

  • Die Caches werden in Crowds Datenbank gesichert.
  • Wenn Sie den Verzeichnis-Konnektor zu Crowd hinzufügen, wird Crowd eine Synchronisierungsaufgabe im Hintergrund starten, um alle erforderlichen Benutzer, Gruppen und Gruppenzugehörigkeiten von LDAP zur Crowd-Datenbank zu kopieren. Diese Aufgabe kann eine Weile dauern, bis sie abgeschlossen ist, je nach der Größe und Komplexität Ihrer Benutzerbasis.
  • Crowd wird eine wiederkehrende Synchronisierung ausführen, um die Datenbank mit jeglichen Änderungen, die in LDAP vorgenommen wurden, upzudaten. Der Standard-Synchronisierungsintervall oder Abfrageintervall beträgt eine Stunde (60 Minuten). Sie können den Abfrageintervall auf der Verzeichnis-Konnektor Konfigurationsseite ändern.
  • Sie können den Datenbank-gestützten Cache, wenn nötig, manuell synchronisieren.
  • Wann auch immer eine Aktualisierung an den Benutzern, Gruppen oder Gruppenzugehörigkeiten via Crowd vorgenommen werden, wird Crowd sofort den Datenbank-gestützten Cache und das LDAP-Verzeichnis aktualisieren.
  • Bei allen Authentifizierungsanfragen führt Crowd selbst die Abfragen am LDAP-Verzeichnis aus. Crowds Datenbank-gestützter Cache speichert keine Benutzerpasswörter.
  • Crowd führt alle anderen Befehle im Datenbank-gestützten Cache aus.

Das Diagramm unten gibt Ihnen einen Überblick über das Konzept des Caches, der von Crowd unterstützt wird, inklusive dem Datenbank-gestütztem LDAP-Cache. Für eine Erläuterung zu den anderen Caching-Arten von Crowd, lesen Sie bitte die Seite "Überblick über das Caching".


Unterstützte LDAP-Verzeichnisse

Crowds Datenbank-gestütztes Caching ist für alle LDAP-Verzeichnisse verfügbar, die von Crowd unterstützt werden. Lesen Sie die Seite "Einen LDAP-Verzeichnis-Konnektor konfigurieren", um die Liste der unterstützten Verzeichnisse zu sehen.


Den Cache konfigurieren

Screenshots: Die Cache-Konfiguration.



Das sind die Konfigurationsmöglichkeiten, die in den obigen Screenshots gezeigt werden:

  • Aktivieren/Deaktivieren Sie den Cache für jedes Verzeichnis, das im Verzeichnis-Konnektor Tab "Details" enthalten ist. Lesen Sie für weitere Informationen die Seite "Einen LDAP-Verzeichnis-Konnektor konfigurieren".
  • Definieren Sie den Abfrageintervall im "Connector"-Tab des Verzeichnis-Konnektors. Der Abfrageintervall oder der Synchronisierungsintervall, ist die Zeitperiode (in Minuten), in der Crowd wiederkehrend Abfragen für Aktualisierungen an LDAP versendet.
    • Die Länge Ihres Abfrageintervalls hängt davon ab auf welche Dauer Sie veraltete Daten tolerieren können, welche Belastung Sie Crowd und dem LDAP-Server zumuten möchten und wie groß Ihre Benutzer-Basis sein soll. Je öfter Sie die Daten abfragen, desto aktueller werden Ihre Daten sein. Der Nachteil des häufigen Abfragens ist, dass Sie mit den vielen Abfragen womöglich Ihren LDAP-Server überlasten.
    • Wenn Sie sich unsicher sind, dann beginnen Sie zunächst mit einem Intervall von 60 Minuten (das ist die Standardeinstellung) und verkleinern Sie den Wert stückweise. Experimentieren Sie ein wenig mit dieser Einstellung herum.


Die Dauer der Synchronisation herausfinden

Screenshot: Informationen über die letzte Synchronisation.

Der "Details" Tab des Verzeichnis-Konnektors bietet Informationen über die letzte Synchronisierung an, inklusive der Zeit, die dafür erforderlich war.


Manuelles Synchronisieren des Caches

Screenshot: Manuelles Synchronisieren des Caches.

Sie können den Cache manuell synchronisieren, indem Sie im Tab "Details" auf den Button "Synchronize Now" klicken. Wenn eine Synchronisierung bereits in Gange ist, dann können Sie keine weitere starten, bevor die erste nicht abgeschlossen wurde.


Hinweise

Allgemeine Hinweise

  1. Beachten Sie die optimale Anzahl an Benutzern. Atlassian hat das Datenbank-Caching für Verzeichnisse mit circa 10.000 Benutzern optimiert. Ist Ihr Verzeichnis deutlich größer, dann ist das neue Caching nicht so vorteilhaft. Für wirklich große Benutzer-Basen empfiehlt Atlassian, dass das Caching deaktiviert bleibt.
  2. Sie können die Anzahl der sichtbaren LDAP-Benutzer in Crowd reduzieren. Sie können den LDAP Benutzer-/Gruppenfilter einschränken, um die Größe Ihrer in Crowd sichtbaren Benutzer-Basis zu steuern.
  3. Delegierte Authentifizierungs-Verzeichnisse werden nicht gecacht. Das ist weil nur die Authentifizierung an das Verzeichnis delegiert wird und die Authentifizierung selbst nicht gecacht wird.
  4. Synchronisationsfehler werden in den Logs angezeigt. Alle Fehler werden während eines Synchronisierungsprozesses in den Logs festgehalten (nicht in der UI). Wenn ein Benutzer aus irgendeinem Grund nicht synchronisiert wird, schreibt der Prozess den Fehler in das Log, überspringt den Benutzer und fährt bei den restlichen Benutzern fort.


Zusätzliche Hinweise für Active Directory

Wenn Crowd sich mit Active Directory synchronisiert, fragt Crowd nur die Änderungen des LDAP-Servers ab, anstelle der ganzen Benutzer-Basis. Das optimiert den Synchronisationsprozess und verleiht der zweiten und den nachfolgenden Anfragen mehr Performance.

Auf der anderen Seite bringt diese Synchronisierung einige Einschränkungen mit sich:

  1. Das externe Verschieben von Objekten aus dem Geltungsbereich, oder die Umbenennung von Objekten führt zu Problemen in AD. Wenn Sie Objekte aus dem Geltungsbereich verschieben, entsteht ein inkonsistenter Cache. Atlassian empfiehlt, dass Sie nicht die Oberfläche des externen LDAP-Verzeichnisses für die Verschiebung von Objekten aus dem Geltungsbereich des Teilbaumes verwenden, so wie er auf Crowds Verzeichnis-Konnektor Seite definiert ist. Falls Sie doch strukturelle Änderungen an Ihrem LDAP-Verzeichnis vornehmen müssen, dann synchronisieren Sie den Verzeichnis-Cache manuell, nachdem Sie die Änderungen durchgeführt haben, um die Cache-Konsistenz sicherzustellen.
  2. Die Synchronisierung mit AD-Server wird nicht unterstützt. Microsoft Active Directory reproduziert nicht das uSNChanged Attribut über die Instanzen hinweg. Aus diesem Grund unterstützt Crowd nicht die Verbindung eines einzelnen Verzeichnisses zu verschiedenen AD-Servern für die Synchronisierung.
  3. Sie müssen Crowd neustarten, nachdem Sie AD aus einem Backup wiederhergestellt haben. Beim Wiederherstellen eines AD-Servers von einem Backup werden die uSNChanged Zeitstempel zur Backup-Zeit umgeändert. Um Verwirrungen zu vermeiden müssen Sie den Verzeichnis-Cache nach einer Active Directory Wiederherstellung leeren.
  4. Das Löschen von AD-Objekten erfordert Administrator-Rechte. Active Directory speichert gelöschte Objekte in einem speziellen Container namens cn=Deleted Objects. Standardmäßig müssen Sie sich als Administrator verbinden, um auf diesen Container zuzugreifen und in Crowd müssen Sie ebenfalls Admin-Zugangsdaten verwenden, um nicht versehentlich etwas zu löschen. Alternativ haben Sie die Möglichkeit die Berechtigungen des cn=Deleted Objects Container zu ändern. Wenn Sie das tun möchten, lesen Sie den entsprechenden Microsoft Knowledge Base Artikel.


Atlassians Test-Ergebnisse

Atlassian testete die Synchronisierung mit einem AD-Server auf einem lokalen Netzwerk mit 10.000 Benutzern, 1.000 Gruppen und 200.000 Gruppenzugehörigkeiten. Die initiale Synchronisierung dauerte etwa 5 Minuten. Nachfolgende Synchronisierungen mit 100 Modifizierungen auf dem AD-Server dauerte einige Sekunden. Behalten Sie im Hinterkopf, dass eine Vielzahl von Faktoren ins Spiel kommen, wenn Sie die Performance des Synchronisierungs-Prozesses verbessern möchten:

  • Größe der Benutzer-Basis. Benutzen Sie, je nach Ihren Anforderungen, LDAP-Filter, um die Benutzer-Basis so klein wie möglich zu halten.
  • Typ des LDAP-Servers. Atlassian unterstützt aktuell die Erkennung von Änderungen in AD, sodass nachfolgende Synchronisierungen bei AD viel schneller sind als bei anderen LDAP-Servern.
  • Netzwerktopologie. Je weiter Ihr LDAP-Server von Ihrem Applikationsserver entfernt ist, desto höher ist die Latenzzeit für die LDAP-Abfragen.
  • Datenbank-Performance. Weil der Synchronisierungs-Prozess die Daten in der Datenbank cacht, beeinflusst die Performance Ihrer Datenbank die Performance der Synchronisation.
  • JVM-Heap-Größe. Wenn Ihre Heap-Größe zu klein für Ihre Benutzer-Basis ist, dann werden Sie während des Synchronisations-Prozesses eine große Müll-Ansammlung haben, die die Synchronisierung verlangsamen könnte.




Crowd Dokumentation Übersicht:




Crowd Doku

  • Keine Stichwörter