
<html>

  <head>

    <meta content="text/html; charset=windows-1252"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    <div class="moz-cite-prefix">On 11/04/16 15:35, Josh Cain wrote:<br>

    </div>

    <blockquote

cite="mid:CA+z0A8AE2C_p56ppZ2SB6aJLqUiVGd+bmYk2kWoNSJd58krQpA@mail.gmail.com"

      type="cite">

      <div dir="ltr">

        <div>Hi All,<br>

          <br>

        </div>

        We're looking to take nightly realm backups of a clustered

        Keycloak deployment via the realm export feature.  However, in

        reading through <a moz-do-not-send="true"

href="http://keycloak.github.io/docs/userguide/keycloak-server/html/export-import.html">the

          docs</a>, I came across this statement:<br>

        <br>

        <a moz-do-not-send="true" id="d4e3016">The fact it's done at

          server startup means that no-one can access Keycloak UI or

          REST endpoints and edit Keycloak database on the fly when

          export or import is in progress. Otherwise it could lead to

          inconsistent results.</a><br>

        <div>

          <div><br>

          </div>

          <div>What are the implications for this in a clustered

            environment?  We were planning to take a single server down

            and use it for realm export.  Will this operation be

            reliable with other servers running?<br>

          </div>

        </div>

      </div>

    </blockquote>

    Depends on which level of consistency you want to achieve. In

    theory, it might not be so bad. But note that in your case, the

    node2 will be doing export when node1 will still receive requests

    from users. This can lead to possible inconsistencies.<br>

    <br>

    For example,  some user decided that he don't trust facebook login,

    so he is going to set password instead of facebook link. So he will

    do these actions quickly in account management:<br>

    - Set his password in account mgmt page<br>

    - Remove link to facebook<br>

    <br>

    Assuming the export will be in progress, it can happen that user

    will be exported without password and also without federationLinks,

    so after reimport he won't be able to login anymore.<br>

    <br>

    Marek<br>

    <blockquote

cite="mid:CA+z0A8AE2C_p56ppZ2SB6aJLqUiVGd+bmYk2kWoNSJd58krQpA@mail.gmail.com"

      type="cite">

      <div dir="ltr">

        <div>

          <div><br clear="all">

            <div>

              <div class="gmail_signature">

                <div dir="ltr"><span>

                    <div>

                      <div>Josh Cain | Software Applications Engineer<br>

                      </div>

                      <i>Identity and Access Management</i><br>

                    </div>

                    <b>Red Hat</b><br>

                    +1 843-737-1735<br>

                  </span></div>

              </div>

            </div>

          </div>

        </div>

      </div>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">_______________________________________________

keycloak-user mailing list

<a class="moz-txt-link-abbreviated" href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a>

<a class="moz-txt-link-freetext" href="https://lists.jboss.org/mailman/listinfo/keycloak-user">https://lists.jboss.org/mailman/listinfo/keycloak-user</a></pre>

    </blockquote>

    <br>

  </body>

</html>