Bug #3018
fermé
[Novell Directory Server] Synchronisation complète qui boucle
100%
Description
Bonjour,
Nous avons besoin de renommer 200 groupes sur notre annuaire LDAP et sur le portail afin qu'ils ne perdent pas leurs droits attribués précédemment.
Notre mappage des champs LDAP fait que nous pointons sur le même attribut (cn) pour le nom (name) et le l'id (specificid) des groupes.
Si nous renommons un groupe (changement de cn), il est donc détruit et recréer avec un nouveau nom et il perd donc tous ces droits sur le portail.
David nous a alors indiqué qu'il est possible de renommer les groupes directement dans la table st_group de la base de données du portail.
Effectivement, si l'on change le champ specificid (et accessoirement le champ name) avec le nouveau nom (les renommages ayant été préalablement fait sur l'annuaire), les groupes sont toujours existant, nous avons bien accès à nos données, et si nous synchronisons le groupe individuellement, il change bien de nom.
Le problème survient lorsque nous désirons faire une synchronisation complète du domaine manuellement (La synchronisation automatique est désactivé pour la manipulation) afin de finaliser les changements de noms :
La synchronisation semble réitérer très régulièrement (tous les 3 ou 4 groupes) la synchronisation du 2ème groupe renommé (Si l'on efface le deuxième, le suivant se met à boucler à sa place)
Par exemple : Le 1er groupe est renommé en AAA, le 2ème en BBB, ...
Lors de la synchronisation, il met bien à jour le premier groupe, et pour le suivant, il semble chercher de nombreux membres, alors qu'il n'a qu'un seul membre à ce groupe (avec la fonction AbstractLDAPGroup.translateGroups()).
Et il recommence tous les 3 ou 4 groupes en augmentant le nombre de membres à chaque fois. Si bien qu'au bout d'une heure (d'habitude, il faut 3-5 minutes), le groupe BBB compte déjà 4900 membres (alors qu'il n'y en a que 3200 dans notre annuaire), et j'arrête le portail pour ne pas endommager la base de données.
De plus, même après une maintenance de la base de données postgreSQL (vacumm), le problème persiste.
L'annuaire est bien disponible et il n'y a pas de problème réseau entre les 2 serveurs.
Ci-joint, les traces de la synchronisation.
J'ai absolument besoin de renommer ces groupes le plus rapidement possible.
Merci pour votre aide.
Fichiers
Mis à jour par David Lesimple il y a plus de 12 ans
- Statut changé de New à Feedback
- Assigné à mis à David Lesimple
Dans les traces du 6/3, il y a pourtant une synchro qui a démarré à 3h54.. mais ça ressemnble plus à une synchro planifiée qu'à une synchro manuelle (surtout à 4h du mat...)
Tu me confirmes ?
Mis à jour par Emmanuel GRANGE il y a plus de 12 ans
Non, non, j'ai bien travaillé jusqu'à 4h du matin.
Les traces contiennent depuis le démarrage du portail jusqu'à son arrêt forcé (le fichier était vierge lors du lancement du portail)
Mis à jour par David Lesimple il y a plus de 12 ans
OK je vais me connecter à votre serveur de test. Merci de ne pas intervenir dessus.
Mis à jour par David Lesimple il y a plus de 12 ans
- Statut changé de Feedback à In progress...
- % réalisé changé de 0 à 80
ok il semble que 2 synchros soient nécessaires... en modifiant la valeur du
Dernier indice LDAP synchronisé : dans les infos du domaine LDAP (en backoffice)
1/ avec le dernier indice: 20120101000000Z (pour le renommage des groupes)
2/ ensuite avec indice:0 pour tout resynchroniser.
Mis à jour par Emmanuel GRANGE il y a plus de 12 ans
Je teste encore, mais ça n'a pas l'air de fonctionner (même après des opérations de maintenance de Postgres et de l'annuaire LDAP)
Mis à jour par David Lesimple il y a plus de 12 ans
La synchro boucle ou les infos ne se synchronisent pas ?
Mis à jour par David Lesimple il y a plus de 12 ans
- Tracker changé de Support à Bug
- Sujet changé de Renommage de groupes LDAP à [Novell Directory Server] Synchronisation de groupes multiples fait boucler la synchro.
- Assigné à
David Lesimplesupprimé - Votre version de Silverpeas changé de 5.5.6 à 5.9
- Votre base de données mis à PostgreSQL
Le renommage n'est pas en cause finalement, en fait la requete ldap de Silverpeas de récupération des groupes recupèrent des groupes "splittés".
Exemple (l'organisation a été masquée) :
élément #0 : cn=$LOG-ADV,ou=GROUPS,o=XXXX | Classe :LDAPUtility.search1000Plus()
élément #1 : cn=$AFT,ou=GROUPS,o=XXXX | Classe :LDAPUtility.search1000Plus()
élément #2 : cn=$AFT_ANIM_QUAL,ou=GROUPS,o=XXXX | Classe :LDAPUtility.search1000Plus()
élément #3 : cn=$AFT_ANIM_QUAL,ou=GROUPS,o=XXXX | Classe :LDAPUtility.search1000Plus()
la synchro du groupe $AFT_ANIM_QUAL est mal gérée puisque la synchro boucle sur le remplissage de ce groupe...
Mis à jour par David Lesimple il y a plus de 12 ans
- Sujet changé de [Novell Directory Server] Synchronisation de groupes multiples fait boucler la synchro. à [Novell Directory Server] Synchronisation complète qui boucle
Mis à jour par David Lesimple il y a plus de 12 ans
Patch manuel fait.
Pour le correcteur: la modification concerne com.stratelia.silverpeas.domains.ldapdriver.AbstractLDAPGroup
méthode getGroups, Ligne 180, la liste de groupes mergés n'était pas vidée avant de passer aux groupes suivants...
Ajout de groupMerged.clear();
Mis à jour par David Lesimple il y a plus de 12 ans
Ce bug est bloquant pour le client, est-il possible d'avoir la correction définitive dans la version 5.9.1 ou 5.9.2 ?
merci.
Mis à jour par Nicolas Eysseric il y a plus de 12 ans
Le patch manuel apporte-t-il une correction définitive ?
Mis à jour par Emmanuel GRANGE il y a plus de 12 ans
Nous allons faire un dernier test afin de validé à grande échelle le patch
Mis à jour par Emmanuel GRANGE il y a plus de 12 ans
- Fichier displayDynamicSynchroReport_20120607.zip displayDynamicSynchroReport_20120607.zip ajouté
- Fichier traces.txt.20120607.zip traces.txt.20120607.zip ajouté
Le bug est toujours là :
En renommant à nouveau certains groupes, la synchronisation boucle encore.
Ci-joint les traces de la synchronisation (j'ai arrêté le portail avant la fin)
Mis à jour par David Lesimple il y a plus de 12 ans
le patch manuel que j'avais mis dans Jboss le 4 Mai n'y est plus.. il y a eu un redéploiement le 9 Mai.
Mis à jour par Emmanuel GRANGE il y a plus de 12 ans
Au final, les synchronisations ne bouclent plus indéfiniment, et les groupes sont bien renommés, mais il semble qu'il y ai encore des corrections à apporter à la synchronisation, car des bugs persistent :
- Des incohérences surviennent lors de renommage de groupes dans un annuaire :
- Si l'on renomme les groupes de l'annuaire, mais dans la base de données, certains groupes apparaissent plusieurs fois lors de l'extraction de l'annuaire, ce qui provoque forcément une erreur lors de la synchro, alors qu'elle devrait simplement supprimer les groupes sous leurs anciens noms, et en créer de nouveaux avec leur nouveau nom.
- De plus, certains des groupes renommés remontent comme splitté, alors qu'ils n'ont qu'un très petit nombre de membres (1,2,9... et même 0 membre!!)
- J'ai eu à plusieurs reprises, des synchronisations qui, bien qu'elles semblaient bien se passer, ont vidés tous les groupes. Mais je n'ai pas réussi à déterminer les conditions exactes du problème. Une synchronisation supplémentaire, repeuplait les groupes et le portail revenait à la normal.
Mis à jour par Nicolas Eysseric il y a environ 12 ans
- Statut changé de In progress... à Feedback
Qu'en est-il de cette anomalie ?
Mis à jour par Emmanuel GRANGE il y a environ 12 ans
Nous n'avons plus de bug bloquant pendant la synchronisation : Même si les groupes renommés peuvent apparaitre plusieurs fois lors de l'inventaire des groupes.
Mais des comportements bizarres après un renommage :
Un groupe renommé qui a des accès sur un espace en tant que manager d'espace n'a plus la visualisation de cet espace dans le back-end d'administration.
Après un redémarrage du portail, cet espace est à nouveau visible.
Cela ressemble beaucoup à un problème que nous avions eu précédemment suite à la restauration d'un espace, le back-end était totalement vide pour les managers.
Mis à jour par Nicolas Eysseric il y a presque 11 ans
- Navigateur changé de Firefox 10 à Tous
Maintenant que vous êtes en 5.13, constatez-vous toujours des anomalies liées à la synchronisation ?
Mis à jour par Emmanuel GRANGE il y a presque 11 ans
Pas de nouveau problème.
Nous n'avons pas eu besoin depuis longtemps, et nous évitons désormais de changer les noms des Groupes.
Il n'est cependant pas exclus que nous ayons à nouveau à le refaire.
La procédure est elle toujours valable ?
N'est-il pas possible d'avoir une interface plus simple pour ce genre de changement ?
Mis à jour par Nicolas Eysseric il y a plus de 10 ans
- Statut changé de Feedback à Closed
- % réalisé changé de 80 à 100
Le problème initial soulevé par ce ticket ne se produit donc plus.
Le specificId des groupes devrait pointer sur une donnée plus stable que le cn (qui contient le nom du groupe).
Cela relève d'un problème de paramétrage initial de votre domaine LDAP.
Il s'agit d'un cas particulier. La procédure reste valable. Rien n'est prévu pour faciliter ce genre de changement.