Demande #36152
Problème de "freeze" aléatoire Eole-SSO
0%
Description
Bonjour
Depuis le milieu de semaine dernière, avec la rentrée des personnels et des enseignants, nous observons des problèmes de temps de réponse aléatoire avec notre serveur Seshat https://seshat.ac-dijon.fr:8443/
De manière aléatoire, soit le formulaire de connexion charge très rapidement, soit l'opération peut prendre plusieurs dizaines de secondes ou échouer.
Le serveur lui-même n'est chargé ni en terme de mémoire, ni en terme de CPU, étant très largement dimensionné : une enquête ce matin avec un collègue Eole tant à pointer le doigts sur un problème de timeout
ou de limite, particulièrement en ce qui concerne la résolution DNS inverse.
En effet, si nous bloquons le trafic sortant en port 53 (REJECT iptable), tous les chargements de formulaire et l'authentification deviennent instantanés.
Cette solution n'est cependant pas viable, car le serveur a besoin de pouvoir effectuer les résolution d'autres services une fois que son cache client arrive à expiration.
Avez-vous déjà rencontré ce problème ? Existe-t-il une solution ?
Le service se trouve fortement impacté pour l'académie de Dijon, avec de nombreux signalements.
Merci par avance,
Guillaume
Historique
#1 Mis à jour par Guillaume Laville il y a plus d'un an
J'ai pu désactiver la résolution inverse en modifiant la ligne suivante dans saml_ressources.py, ligne 1010 :
#dns_client = socket.gethostbyaddr(addr_client)[0]
remplacé par le code présent dans le bloc except :
dns_client = None
Cela ne change pas le résultat, puisque la résolution inverse échoue chez nous après timeout, mais l'effet sur le temps de réponse pour le formulaire et l'authentification est saisissant :
l'affichage dans le navigateur web est à présent quasiment instantané.
#2 Mis à jour par Klaas TJEBBES il y a plus d'un an
Le diagnostic a montré que le serveur SSO attend plus de 30 secondes la réponse à une requête DNS inverse (IP => Nom).
Lors d'un fonctionnement normal, en cas de forte sollicitation d'un serveur DNS, il peut arriver que la réponse aux requêtes soit un peu longue, de l'ordre d'une ou deux secondes, mais plus de 30 secondes semble être une durée excessive.
Plusieurs pistes possibles :- un problème avec le serveur DNS.
- un problème avec un équipement réseau entre le serveur Seshat et le serveur DNS qui altère les requêtes DNS.
#3 Mis à jour par Guillaume Laville il y a plus d'un an
Merci beaucoup Klaas
Pour l'instant nous restons avec la désactivation du reverse DNS : le plan est à moyen terme de migrer sur un DNS unifié RABFC qui corrigera sans doute le problème,
à l'heure actuelle il ne semble pas y avoir moyen de faire grand chose avec le serveur existant.