search

SURFscz / SRAM-deploy

Deploy scripts for the SCZ
Apache License 2.0
5 stars 5 forks source link

Betere monitoring van echte SAML en OIDC logins #393

Closed baszoetekouw closed 1 year ago

baszoetekouw commented 1 year ago

Naar aanleiding van https://wiki.surfnet.nl/display/coininfra/2023-01-16+SRAM+storing+Entitlements

Bij deze storing leverde SBS wel de goede entitlements door in proxy_authz, maar filterde Satosa die weg.

We willen daarom actief monitoren dat de hele loginketen (SAML, OIDC, proxy_authz) correct functioneert. Dat betekent dat we willen testen dat:

Hopelijk kunnen we hiervoor voortbouwen op de CI/Behave tests die we al hebben. Ik stel voor om een EduID-gebruiker (voor nu, wellicht kunnen we later een dedicated test-IdP gebruiken) in een aantal vaste COs te stoppen die alleen toegang hebben tot de Demo RP en Demo SP. We richten dan een proces in dat regelmatig (zeg, elk kwartier) een SAML en een OIDC login doet en dat rapporteert via Zabbix.

Dit zou kunnen draaien op de (nog steeds maar half ingerichte) bhr13.

baszoetekouw commented 1 year ago

@mrvanes ik denk dat we dit gewoon kunnen implementeren op bhr13. Zou jij kunnen kijken of je iets in elkaar kunt knutselen (misschien eerst even op acc)?

mrvanes commented 1 year ago

https://github.com/SURFscz/monitoring/commit/b705e36a20202db2a791046589feafad07db070e

baszoetekouw commented 1 year ago

alleen nog wat config verplaatsen in de PR

baszoetekouw commented 1 year ago

Dit werkt nog niet:

bas@bhr13:/opt/sram-monitor$ sudo -u sram-monitor bash -x /opt/sram-monitor/run_sram_monitoring.sh acc; echo $?
+ '[' -z acc ']'
+ ENV=acc
+ '[' '!' -f acc.yml ']'
+ docker run --rm -d --name chrome -p 4444:4444 selenium/standalone-chrome
+ curl --output /dev/null --silent --head http://localhost:4444/wd/hub
+ sleep 1
+ curl --output /dev/null --silent --head http://localhost:4444/wd/hub
+ sleep 1
+ curl --output /dev/null --silent --head http://localhost:4444/wd/hub
+ sleep 1
+ curl --output /dev/null --silent --head http://localhost:4444/wd/hub
+ sleep 1
+ curl --output /dev/null --silent --head http://localhost:4444/wd/hub
+ sleep 1
+ curl --output /dev/null --silent --head http://localhost:4444/wd/hub
++ ./bin/python sram_monitoring_test.py acc.yml
+ OUTPUT='Message: Timeout waiting for user userinfo
Stacktrace:
#0 0x560b4e1422a3 <unknown>
#1 0x560b4df00f77 <unknown>
#2 0x560b4df3d80c <unknown>
#3 0x560b4df3da71 <unknown>
#4 0x560b4df77734 <unknown>
#5 0x560b4df5db5d <unknown>
#6 0x560b4df7547c <unknown>
#7 0x560b4df5d903 <unknown>
#8 0x560b4df30ece <unknown>
#9 0x560b4df31fde <unknown>
#10 0x560b4e19263e <unknown>
#11 0x560b4e195b79 <unknown>
#12 0x560b4e17889e <unknown>
#13 0x560b4e196a83 <unknown>
#14 0x560b4e16b505 <unknown>
#15 0x560b4e1b7ca8 <unknown>
#16 0x560b4e1b7e36 <unknown>
#17 0x560b4e1d3333 <unknown>
#18 0x7fe65a338609 start_thread'
+ RESULT=1
+ docker stop chrome
+ echo Message: Timeout waiting for user userinfo Stacktrace: '#0' 0x560b4e1422a3 '<unknown>' '#1' 0x560b4df00f77 '<unknown>' '#2' 0x560b4df3d80c '<unknown>' '#3' 0x560b4df3da71 '<unknown>' '#4' 0x560b4df77734 '<unknown>' '#5' 0x560b4df5db5d '<unknown>' '#6' 0x560b4df7547c '<unknown>' '#7' 0x560b4df5d903 '<unknown>' '#8' 0x560b4df30ece '<unknown>' '#9' 0x560b4df31fde '<unknown>' '#10' 0x560b4e19263e '<unknown>' '#11' 0x560b4e195b79 '<unknown>' '#12' 0x560b4e17889e '<unknown>' '#13' 0x560b4e196a83 '<unknown>' '#14' 0x560b4e16b505 '<unknown>' '#15' 0x560b4e1b7ca8 '<unknown>' '#16' 0x560b4e1b7e36 '<unknown>' '#17' 0x560b4e1d3333 '<unknown>' '#18' 0x7fe65a338609 start_thread
+ exit 1
1
mrvanes commented 1 year ago

Gefixt met https://github.com/SURFscz/SRAM-deploy/pull/435 en door in ACC de aup voor student en employee te accepteren.

baszoetekouw commented 1 year ago

lijkt te werken nu; valt af en toe nog wle om, dus moeten we even in de gaten houden