שלום מעיין,
אי אפשר להוציא מייל כזה.
הנושא הטכני אינו מהווה בעיה לעלות לאוויר.
אני לא נכנס לתהליך פיתוח אחרי אישורים של צורת מערכת וחצי שנה של עבודה ב-PROD.
מזכיר לכם שכבר עברנו מקרה אחת של שינוי אחרי אישור תצורה.
Omer Barzilai
CA Technologies
Services Project Manager
CA Limited | CA Software Israel Ltd. | CA Building, 16 Shenkar Street, P.O.Box 2207 | Herzliya, Israel | 46120
Office: +972-9-9626682 | Mobile: +972-52-6444642 |
Omer.Barzilai@ca.com
From: Maayan Cyzs [mailto:maayancy@matrix.co.il]
Sent: Wednesday, December 24, 2014 6:04 PM
To: Barzilai, Omer; Tal.zmiri (Tal.zmiri@mail.gov.il)
Cc: Oren Sharoni
Subject: RE: אתר מפקדים - סיכום תקלת תקשורת ב
otp
הי עומר,
בהמשך למייל של מיכאל מטה,
בעיית ה –
OTP
מהווה
NO GO
לעלייה לאוויר מבחינת הלקוח.
אני צריכה בבקשה שיבוצע הפיתוח הנדרש מצדכם מהר ככל האפשר,
מבקשת לקבל לו"ז בדחיפות.
אנחנו ניערך מצידנו לשינויים שנדרש לעשות ברמת האתר בהתאמה ברגע שיתחיל המימוש מצדכם ויועברו אלינו השינויים הנדרשים בצד האתר.
כמובן שהכל צריך להיות מותקןם בסביבת הבדיקות ע"מ שנוודא תקינות לפני עדכון גרסה בממשל זמין.
תודה,
מעיין
מעיין ציז|
מנהלת תחום פרויקטים | חטיבת פתרונות פננסיים וטכנולוגיות |
מטריקס |
03-9765228 , נייד: 054-2408894 | maayancy@matrix.co.il
| www.matrix.co.il
From: Michael Kipnis [mailto:michael@datanin.com]
Sent: Wednesday, December 24, 2014 3:55 PM
To: Oren Sharoni; Maayan Cyzs
Cc: Barzilai, Omer
Subject: RE: אתר מפקדים - סיכום תקלת תקשורת ב
otp
הי,
הFlow
כשיש תקלה הוא כזה:
·
דף הLogin
של מרק פונה לlogin servlet בשרת הOTP
- מוצלח
·
שרת הOTP
(login servlet) פונה לשרת הAA
להפקת OTP
בפורט 9742 - מוצלח
·
המשתמש מזין
OTP
ודף הOTP עושה
post ל
login.fcc
שרת sps1/2/3
- מוצלח
·
Login.fcc
(sps1/2/3)
פונה ל
Policy
server
(sm1/2) ומעביר לו את הOTP
- מוצלח
·
הpolicy server
פונה לשרת הAA לעשות
verify
ל OTP
בפורט 9744 -
מקבל שגיאה של timeout
·
הPolicy server
מחזיר unauthenticated לשרת הsps1/2/3
- מוצלח
·
הsps1/2/3
מחזיר 302 עם לינק לדף הOTP עם שרשור
כל הפרמטרים של siteminder
בהזנה שניה של הOTP
הפניה בפורט 9744 מצליחה והמשתמש עובר.
על מנת להתגבר על המצב הזה יש צורך לשנות את הauthentication scheme
כדי לבדוק מה התשובה שחוזרת בverify
ואם יש timeout פשוט לנסות עוד פעם.
שינוי זה דורש זמן פיתוח ובעיקר בדיקות.
בנוסף הוא יגרור בדיקת רגרסיה מקיפה לכל תהליך ההזדהות.
ללא שינויים - מצב זה זהה מבחינת התנהגות המערכת למצב שבו הOTP
שהוזן לא תקין.
דבר נוסף שראינו הוא שהתקלה הזאת קורית
כנראה כאשר אין נגיעה במערכת והמשתמש הראשון חוטף את התקלה.
לא הצלחנו לשחזר אותה אלא ראינו בlogים שיש
timeout מסונכרן מבחינת זמנים לפעם הראשונה
שניסינו להזדהות ע"י OTP.
הדרך היחידה שבה הצלחנו להביא את המערכת לייצר
timeout כזה היא כאשר חסמנו בfirewall
המקומי על שרת הAA תקשורת פנימה בפורט
9744 - פורט הauthentication.
בטווח הרחוק יש צורך לעשות redesign
לכל תהליך ההזדהות ולהסתנכרן על טיפול בשגיאות השונות שיכולות לקרות -
CA+Matrix.
בברכה,
מיכאל.
-----Original Message-----
From: Oren Sharoni [mailto:orenshar@matrix.co.il]
Sent: Wednesday, December 24, 2014 12:45 PM
To: Maayan Cyzs; Kipnis, Michael
Cc: Barzilai,
Omer
Subject:
RE:
אתר מפקדים - סיכום תקלת תקשורת ב
otp
סיכום
בדיקת
תקלה
בתקשורת
ל
OTP
בבדיקה
האחרונה
שביצענו
בתהילה
ראינו
כי
במקרים
מסויימים
קוד
OTP
נכון
שמוזן
נשלח
לשרת
לצורך
בדיקה
ומתקבלת
חזרה
תשובה
שהקוד
לא
מאושר
והפניה
חזרה
לדף
ה
OTP -
ולכן
לפני
כן
היה
נראה
כאילו
כלום
לא
קרה.
לאחר
הטיפול
הספציפי
בחזרה
ל
OTP
יכולנו
לראות
כי
למעשה
כי
מתקבלת
תשובה
כי
הקוד
לא
תקין
גם
על
קוד
תקין
ואילו
בשרות
בשרת
AA
לא
רואים
שנשלחהבקשה,
חפירה
בלוגים
של
ה
servlet
הראו
כי
ישנו
מצב
של
time out
שחופף
למקרים
האלה,
מדובר
בתקשורת
בין
ה
servlet
לבין
הAA.
מכיון
שלא
חוזרות
שגיאות
מפורטות
לא
ממש
ניתן
לדעת
מדוע
או
מה
השגיאה
המדוייקת
יש
להגדיר
את
כל
מצבי
השגיאה
האלו
ולפתח
בצד
של
CA
את
התמיכה
הזו.
את
החלק
הזה
מיכאל
ידע
להגדיר
טוב
יותר
ממני.
בברכה