我们在Apache内部使用Mod_auth_kerb和我们的内部Kerberos进行身份validation,从而在内部托pipe我们自己的Redmine rails Web应用程序。
我们有2个内部Kerberos服务器KDC1和KDC2。 KDC1是主人。 KDC2是KDC1的奴隶。
当KDC1正在工作,我们没有问题,Redmine在我们的Apache与乘客设置是响应。
Kerberos服务器正在运行Debian Lenny Redmine Apache2服务器正在运行Debian Squeeze
由于最近出现了一些硬件问题,KDC1脱机。 在这段时间里,每一个Redmine的页面加载速度都非常慢,每个页面加载需要大约10秒。 Redmine的工作,通过名为KDC2奴隶的Kerberos身份validation工作,但它非常缓慢。
对于每个Redmine页面加载,Redmine Apache系统将开始查找KDC1并最终使用KDC2。 这个过程每次花费几秒钟。
我尝试在Redmine Apache服务器的/etc/krb5.conf中使用以下不同值的选项
[libdefaults] default_realm = DOMAIN.COM kdc_timeout = 1 max_retries = 0 我尝试了不同的值,我运行tcpdump来查看延迟是在哪里,看看是否改变上述设置有所不同,我没有看到tcpdump捕获或浏览器中的Redmine页面加载的任何差异。
我做错了吗? 是否有可能使我们的Redmine Apache系统使用KDC2更快,更快,如果KDC1失败,速度不会明显变慢?
什么是一些好的方法或什么是设置Kerberos进行高可用性故障转移的最佳方式?
如果我不能加速上面的我们使用奴隶,那么我可以尝试其他的东西,而不是从属,创build两个相同的KDC1服务器,并使用心跳来故障转移IP地址为kdc1.domain.com在事件失败或什么的。 我还没有得到。
提前致谢。