LDAP-Bindungsinformationen aktualisieren

Verwenden Sie diese Informationen, wenn Sie die LDAP-Sicherheitsbindungsinformationen durch Wechsel zu einer anderen Bindungsidentität dynamisch aktualisieren möchten.

Informationen zu dieser Task

Sie können die LDAP-Bindungsinformationen (Lightweight Directory Access Protocol) dynamisch aktualisieren, ohne vorher den Computer anhalten und neu starten zu müssen. WebSphere® Application Server mithilfe der wsadmin Werkzeug.

Der resetLdapBindInfo Methode in SecurityAdmin MBean wird verwendet, um LDAP-Bindungsinformationen dynamisch zu aktualisieren bei WebSphere Application Server Sicherheitslaufzeit und verwendet die Bind-Distinguished Name (DN)- und Bind-Passwort-Parameter als Eingabe. Die Methode resetLdapBindInfo gleicht die Bindungsinformationen mit dem LDAP-Server ab. Wenn die Validierung erfolgreich ist, werden neue Bindungsinformationen gespeichert insecurity.xml, und eine Kopie der Informationen wird in WebSphere Application Server Sicherheitslaufzeit.

Die MBean-Methode synchronisiert auch die Änderung der Bindungsinformationen insecurity.xmlvon der Zelle zum Knoten.

Wenn die neuen Bindungsinformationennull,null, Die resetLdapBindInfo Methode extrahiert zuerst LDAP-Bindungsinformationen, einschließlich Bind-DN, Bind-Passwort und Zielbindungshost aus WebSphere Application Server Sicherheitskonfiguration insecurity.xml. Anschließend werden die Bindungsinformationen an WebSphere Application Server Sicherheitslaufzeit.

Es gibt zwei Möglichkeiten zur dynamischen Aktualisierung WebSphere Application Server Sicherheit LDAP-Bindungsinformationen mithilfe der SecurityAdmin MBean über wsadmin:

Wechsel zu einer anderen Bindungsidentität
Umschalten auf einen Failover-LDAP-Host

Wechsel zu einer anderen Bindungsidentität

Informationen zu dieser Task

Wenn Sie die LDAP-Sicherheitsbindungsinformationen durch Wechsel zu einer anderen Bindungsidentität dynamisch aktualisieren möchten, gehen Sie wie folgt vor:

Vorgehensweise

Klicken Sie in der Verwaltungskonsole auf Sicherheit > Globale Sicherheit.
Klicken Sie unter Benutzerkonto-Repository auf das Verfügbare Realm-Definitionen Wählen Sie in der Dropdown-Liste Eigenständige LDAP-Registrierung und klicken Sie auf Konfigurieren.
Erstellen Sie einen neuen Bind-DN. Dieser muss dieselbe Zugriffsberechtigung wie der aktuelle Bind-DN haben.
Führen Sie den SecurityAdmin MBean über alle Prozesse (Bereitstellungsmanager, Knoten und Anwendungsserver), um die neuen Bindungsinformationen zu validieren, sie zu speichern insecurity.xml, und um die neuen Bindungsinformationen an die Laufzeit zu übertragen.

Beispiel

Im Folgenden sehen Sie eine Jacl-Beispieldatei für Schritt 4:

proc LDAPReBind {args} {
		global AdminConfig AdminControl ldapBindDn ldapBindPassword 
		set ldapBindDn [lindex $args 0]
		set ldapBindPassword [lindex $args 1]        
      	set secMBeans [$AdminControl queryNames type=SecurityAdmin,*]
      	set plist  [list $ldapBindDn $ldapBindPassword]        
      	foreach secMBean $secMBeans {
           		set result [$AdminControl invoke $secMBean resetLdapBindInfo $plist] 
      	} 
	}

Umschalten auf einen Failover-LDAP-Host

Informationen zu dieser Task

Wenn Sie die LDAP-Sicherheitsbindungsinformationen durch Wechsel zu einem Failover-LDAP-Host dynamisch aktualisieren möchten, gehen Sie wie folgt vor:

Vorgehensweise

Klicken Sie in der Verwaltungskonsole auf Sicherheit > Globale Sicherheit.
Wählen Sie unter „Benutzerkonto-Repository“ Eigenständige LDAP-Registrierung und klicken Sie auf Konfigurieren.
Ändern Sie auf einem LDAP-Server das Kennwort für den Bind-DN. (Diesen Schritt können Sie auf den primären Server oder dem Backupserver ausführen.)
Aktualisieren Sie das neue Kennwort für den Bind-DN in der Sicherheitslaufzeit von WebSphere Application Server. Rufen Sie dazu resetLdapBindInfo mit dem Bind-DN auf. Verwenden Sie das neue Kennwort als Parameter für den Aufruf.
Verwenden Sie das neue Kennwort für den Bind-DN für alle anderen LDAP-Server. Die verbindlichen Angaben sind nun einheitlich WebSphere Application Server und die LDAP-Server.
Wenn Sie anrufen resetLdapBindInfo mitnull,nullals Eingabeparameter, WebSphere Application Server Die Sicherheitslaufzeit führt die folgenden Schritte aus:
1. Liest den Bind-DN, das Bind-Passwort und die Ziel-LDAP-Hosts aussecurity.xml.
2. Sie aktualisiert die zwischengespeicherte Verbindung auf dem LDAP-Server.
Wenn Sie die Sicherheit so konfigurieren, dass mehrere LDAP-Server verwendet werden, erzwingt dieser MBean-Aufruf WebSphere Application Server Sicherheit, um die Verbindung zum ersten verfügbaren LDAP-Host in der Liste wiederherzustellen. Wenn beispielsweise drei LDAP-Server in der Reihenfolge L1, L2 und L3 konfiguriert sind, wird die neue Verbindung immer zuerst zum Server L1 hergestellt.

Wenn das LDAP-Failover durch Zuordnung eines einzelnen Hostnamens zu mehreren IP-Adressen konfiguriert wird, kann die Eingabe eines ungültigen Kennworts zu mehreren LDAP-Bindungsversuchen führen. Bei Verwendung der Standardeinstellungen ist die Anzahl der LDAP-Bindungsversucht mit der Anzahl zugeordneter IP-Adresse plus 1 identisch. Das bedeutet, dass ein einziger ungültiger Anmeldeversuch zum Sperren des LDAP-Accounts führen kann. Wenn die angepasste Eigenschaft "com.ibm.websphere.security.registry.ldap.singleLDAP" auf "false" gesetzt ist, werden LDAP-Bindungsaufrufe nicht wiederholt.

Wenn LDAP-Failover durch die Registrierung der Hostnamen von Back-End-LDAP-Servern mit dem wsadmin-Befehl konfiguriert wurde, setzen Sie die Eigenschaft "com.ibm.websphere.security.ldap.retryBind" auf "false".

Vermeide Ärger: Das föderierte Repository unterstützt kein Failover durch die Zuordnung eines einzelnen Hostnamens zu mehreren IP-Adressen. Diese Einstellung gilt nur für eigenständiges LDAP.