更新 LDAP 绑定信息

使用此信息通过切换到不同的绑定标识来动态地更新安全性 LDAP 绑定信息。

有关此任务

您可以使用 wsadmin 工具动态更新轻量级目录访问协议 (LDAP) 绑定信息,而无需首先停止和重新启动 WebSphere® Application Server

SecurityAdmin MBean 中的 resetLdapBindInfo 方法用于在 WebSphere Application Server 安全运行时动态更新 LDAP 绑定信息,它将绑定区分名称 (DN) 和绑定密码参数作为输入。 resetLdapBindInfo 方法对照 LDAP 服务器验证绑定信息。 如果通过验证,那么新的绑定信息将存储在security.xml信息的副本放置在 WebSphere Application Server 安全性运行时中。

MBean 方法还将绑定信息更改同步到security.xml从单元到节点。

如果新绑定信息是null,nullresetLdapBindInfo 方法首先从 WebSphere Application Server 中的安全配置提取 LDAP 绑定信息,包括绑定 DN、绑定密码和目标绑定主机security.xml然后,它将绑定信息推送到 WebSphere Application Server 安全运行时。

有两种方法可通过 wsadmin 使用 SecurityAdmin MBean 动态更新 WebSphere Application Server 安全性 LDAP 绑定信息:

切换到不同的绑定标识

有关此任务

要通过切换到不同的绑定标识来动态地更新安全性 LDAP 绑定信息:

过程

  1. 在管理控制台中,单击 安全性> 全局安全性
  2. 在 "用户帐户存储库" 下,单击 可用域定义 下拉列表,选择 独立 LDAP 注册表,然后单击 配置
  3. 这就创建了一个新的绑定 DN。 它必须具有当前绑定 DN 所具有的访问权。
  4. 在所有进程 (Deployment Manager ,节点和应用程序服务器) 中运行 SecurityAdmin MBean 以验证新的绑定信息,从而将其保存到security.xml以及将新绑定信息推送到运行时。

示例

以下是步骤 4 的样本 Jacl 文件:
proc LDAPReBind {args} {
		global AdminConfig AdminControl ldapBindDn ldapBindPassword 
		set ldapBindDn [lindex $args 0]
		set ldapBindPassword [lindex $args 1]        
      	set secMBeans [$AdminControl queryNames type=SecurityAdmin,*]
      	set plist  [list $ldapBindDn $ldapBindPassword]        
      	foreach secMBean $secMBeans {
           		set result [$AdminControl invoke $secMBean resetLdapBindInfo $plist] 
      	} 
	}

切换到故障转移 LDAP 主机

有关此任务

要通过切换到故障转移 LDAP 主机来动态地更新安全性 LDAP 绑定信息:

过程

  1. 在管理控制台中,单击 安全性> 全局安全性
  2. 在 "用户帐户存储库" 下,选择 独立 LDAP 注册表 ,然后单击 配置
  3. 在一个 LDAP 服务器(它可以是主服务器或备份服务器)上更改绑定 DN 的密码。
  4. 通过使用绑定 DN 调用 resetLdapBindInfo 并通过使用绑定 DN 的新密码作为参数,更新新的绑定 DN 密码并将它推送到 WebSphere Application 安全性运行时。
  5. 对所有其他 LDAP 服务器使用新的绑定 DN 密码。 现在,绑定信息在 WebSphere Application Server 和 LDAP 服务器之间一致。

    如果调用 resetLdapBindInfo 时带有null,null作为输入参数, WebSphere Application Server 安全性运行时完成以下步骤:

    1. 从以下主机读取绑定 DN ,绑定密码和目标 LDAP 主机security.xml.
    2. 刷新已高速缓存的与 LDAP 服务器的连接。

    如果将安全性配置为使用多个 LDAP 服务器,那么此 MBean 调用将强制 WebSphere Application Server 安全性重新连接到列表中的第一个可用 LDAP 主机。 例如,如果按顺序 L1、L2 和 L3 配置了 3 个 LDAP 服务器,那么重新连接进程总是从 L1 服务器开始。

    通过将单个主机名关联至多个 IP 地址来配置 LDAP 故障转移时,输入无效密码会导致进行多次 LDAP 绑定重试。 使用缺省设置时,LDAP 绑定重试次数等于关联的 IP 地址数目加 1。 这意味着单次无效登录尝试会导致 LDAP 帐户锁定。 如果将 com.ibm.websphere.security.registry.ldap.singleLDAP 定制属性设置为 false,那么将不重试 LDAP 绑定调用。

    通过使用 wsadmin 命令注册后端 LDAP 服务器主机名配置 LDAP 故障转移后,请将 com.ibm.websphere.security.ldap.retryBind 属性设置为 false。

    避免麻烦: 联合存储库不支持通过将单个主机名与多个 IP 地址关联来进行故障转移。 此功能仅在独立 LDAP 中可用。