Date : 12/24/2014 4:16:22 PM
From : "Barzilai, Omer"
To : "Maayan Cyzs" , "Tal.zmiri (Tal.zmiri@mail.gov.il)"
Cc : "Oren Sharoni" , "Michael Kipnis (michael@datanin.com)"
Subject : RE: אתר מפקדים - סיכום תקלת תקשורת ב otp
Attachment : 141050_image001.jpg;


שלום מעיין,

 

אי אפשר להוציא מייל כזה.

הנושא הטכני אינו מהווה בעיה לעלות לאוויר.

 

אני לא נכנס לתהליך פיתוח אחרי אישורים של צורת מערכת וחצי שנה של עבודה ב-PROD.

 

מזכיר לכם שכבר עברנו מקרה אחת של שינוי אחרי אישור תצורה.

 

 

 

 

Omer Barzilai
CA Technologies
Services Project Manager

CA Limited | CA Software Israel Ltd. | CA Building, 16 Shenkar Street, P.O.Box 2207 | Herzliya, Israel | 46120
Office: +972-9-9626682 | Mobile: +972-52-6444642 | Omer.Barzilai@ca.com

CATwitterSlideshareFacebookYouTubeLinkedInGoogle+Google+


 

From: Maayan Cyzs [mailto:maayancy@matrix.co.il]
Sent: Wednesday, December 24, 2014 6:04 PM
To: Barzilai, Omer; Tal.zmiri (Tal.zmiri@mail.gov.il)
Cc: Oren Sharoni
Subject: RE:
אתר מפקדים - סיכום תקלת תקשורת ב otp

 

הי עומר,

 

בהמשך למייל של מיכאל מטה,

בעיית ה – OTP  מהווה NO GO לעלייה לאוויר מבחינת הלקוח.

 

אני צריכה בבקשה שיבוצע הפיתוח הנדרש מצדכם מהר ככל האפשר,

מבקשת לקבל לו"ז בדחיפות.

 

אנחנו ניערך מצידנו לשינויים שנדרש לעשות ברמת האתר בהתאמה ברגע שיתחיל המימוש מצדכם ויועברו אלינו השינויים הנדרשים בצד האתר.

כמובן שהכל צריך להיות מותקןם בסביבת הבדיקות ע"מ שנוודא תקינות לפני עדכון גרסה בממשל זמין.

 

 

תודה,

מעיין

 

 

מעיין ציז| מנהלת תחום פרויקטים | חטיבת פתרונות פננסיים וטכנולוגיות | מטריקס |
03-9765228 , נייד: 054-2408894 |
maayancy@matrix.co.il | www.matrix.co.il

Description: Description: Description: Description: Description: Untitled-5

 

 

From: Michael Kipnis [mailto:michael@datanin.com]
Sent: Wednesday, December 24, 2014 3:55 PM
To: Oren Sharoni; Maayan Cyzs
Cc: Barzilai, Omer
Subject: RE: אתר מפקדים - סיכום תקלת תקשורת ב otp

 

הי,

 

הFlow כשיש תקלה הוא כזה:

·         דף הLogin של מרק פונה לlogin servlet בשרת הOTP - מוצלח

·         שרת הOTP (login servlet) פונה לשרת הAA להפקת OTP בפורט 9742 - מוצלח

·         המשתמש מזין OTP ודף הOTP עושה post ל login.fcc שרת sps1/2/3 - מוצלח

·         Login.fcc (sps1/2/3) פונה ל Policy server (sm1/2) ומעביר לו את הOTP - מוצלח

·         הpolicy server פונה לשרת הAA לעשות verify ל OTP בפורט 9744 - מקבל שגיאה של timeout

·         הPolicy server מחזיר unauthenticated לשרת הsps1/2/3 - מוצלח

·         הsps1/2/3 מחזיר 302 עם לינק לדף הOTP עם שרשור כל הפרמטרים של siteminder

 

בהזנה שניה של הOTP הפניה בפורט 9744 מצליחה והמשתמש עובר.

 

על מנת להתגבר על המצב הזה יש צורך לשנות את הauthentication scheme כדי לבדוק מה התשובה שחוזרת בverify ואם יש timeout פשוט לנסות עוד פעם.

שינוי זה דורש זמן פיתוח ובעיקר בדיקות.

בנוסף הוא יגרור בדיקת רגרסיה מקיפה לכל תהליך ההזדהות.

 

ללא שינויים - מצב זה זהה מבחינת התנהגות המערכת למצב שבו הOTP שהוזן לא תקין.

 

דבר נוסף שראינו הוא שהתקלה הזאת קורית כנראה כאשר אין נגיעה במערכת והמשתמש הראשון חוטף את התקלה.

לא הצלחנו לשחזר אותה אלא ראינו בlogים שיש timeout מסונכרן מבחינת זמנים לפעם הראשונה שניסינו להזדהות ע"י OTP.

 

הדרך היחידה שבה הצלחנו להביא את המערכת לייצר timeout כזה היא כאשר חסמנו בfirewall המקומי על שרת הAA תקשורת פנימה בפורט 9744 - פורט הauthentication.

 

בטווח הרחוק יש צורך לעשות redesign לכל תהליך ההזדהות ולהסתנכרן על טיפול בשגיאות השונות שיכולות לקרות - CA+Matrix.

 

בברכה,

מיכאל.

 

 

-----Original Message-----
From: Oren Sharoni [mailto:orenshar@matrix.co.il]
Sent: Wednesday, December 24, 2014 12:45 PM
To: Maayan Cyzs; Kipnis, Michael
Cc: Barzilai, Omer
Subject: ‏‏RE: אתר מפקדים - סיכום תקלת תקשורת ב otp

 

סיכום בדיקת תקלה בתקשורת ל OTP

בבדיקה האחרונה שביצענו בתהילה ראינו כי במקרים מסויימים  קוד  OTP נכון שמוזן נשלח לשרת לצורך בדיקה ומתקבלת חזרה תשובה שהקוד לא מאושר והפניה חזרה לדף ה OTP - ולכן לפני כן היה נראה כאילו כלום לא קרה.

 

לאחר הטיפול הספציפי בחזרה ל OTP יכולנו לראות כי למעשה כי מתקבלת תשובה כי הקוד לא תקין גם על קוד תקין ואילו בשרות בשרת AA לא רואים שנשלחהבקשה,

חפירה בלוגים של ה servlet הראו כי ישנו מצב של time out שחופף למקרים האלה, מדובר בתקשורת בין ה servlet לבין הAA.

 

מכיון שלא חוזרות שגיאות מפורטות לא ממש ניתן לדעת מדוע או מה השגיאה המדוייקת יש להגדיר את כל מצבי השגיאה האלו ולפתח בצד של CA את התמיכה הזו.

את החלק הזה מיכאל ידע להגדיר טוב יותר ממני.

 

בברכה