LDAP-Bindungsinformationen aktualisieren

Verwenden Sie diese Informationen, wenn Sie die LDAP-Sicherheitsbindungsinformationen durch Wechsel zu einer anderen Bindungsidentität dynamisch aktualisieren möchten.

Informationen zu diesem Vorgang

Sie können LDAP-Bindungsinformationen (Lightweight Directory Access Protocol) mit dem Tool wsadmin dynamisch aktualisieren, ohne WebSphere Application Server stoppen und erneut starten zu müssen.

In der Laufzeitumgebung von WebSphere Application Server wird die Methode resetLdapBindInfo der MBean SecurityAdmin verwendet, um LDAP-Bindungsinformationen dynamisch zu aktualisieren. Als Eingabe werden der definierte Name (DN) für Bindung und das Kennwort für Bindung verwendet. Die Methode resetLdapBindInfo gleicht die Bindungsinformationen mit dem LDAP-Server ab. Wenn die Informationen gültig sind, werden in security.xml neue Bindungsinformationen gespeichert. Für die Sicherheitslaufzeitumgebung von WebSphere Application Server wird eine Kopie der Informationen bereitgestellt.

Die MBean-Methode führt für die Änderungen der Bindungsinformationen in security.xml von den Zellen zu den Knoten eine Synchronisation durch.

Wenn die neuen Bindungsinformationen null, null lauten, extrahiert die Methode "resetLdapBindInfo" zunächst LDAP-Bindungsinformationen, einschließlich des Bindungs-DN und des Kennworts für Bindung und des Zielbindungshosts, aus der Sicherheitskonfiguration von WebSphere Application Server in security.xml. Anschließend werden die Bindungsinformationen mit Push an die Sicherheitslaufzeitumgebung von WebSphere Application Server übertragen.

Das Tool wsadmin kann auf zwei Wegen verwendet werden, um Informationen zu LDAP-Bindungen für die Sicherheit von WebSphere Application Server mit der MBean SecurityAdmin dynamisch zu aktualisieren:

Wechsel zu einer anderen Bindungsidentität

Informationen zu diesem Vorgang

Wenn Sie die LDAP-Sicherheitsbindungsinformationen durch Wechsel zu einer anderen Bindungsidentität dynamisch aktualisieren möchten, gehen Sie wie folgt vor:

Vorgehensweise

  1. Klicken Sie in der Administrationskonsole auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "Repository für Benutzeraccounts" auf die Dropdown-Liste Verfügbare Realmdefinitionen. Wählen Sie Eigenständige LDAP-Registry aus und klicken Sie auf Konfigurieren.
  3. Erstellen Sie einen neuen Bind-DN. Dieser muss dieselbe Zugriffsberechtigung wie der aktuelle Bind-DN haben.
  4. Führen Sie die MBean SecurityAdmin für alle Prozesse (Deployment Manager, Knoten und Anwendungsserver) aus, um die neuen Bindungsinformationen auszuwerten, um sie in security.xml zu speichern und sie mit Push an die Laufzeit zu übertragen.

Beispiel

Im Folgenden sehen Sie eine Jacl-Beispieldatei für Schritt 4:
proc LDAPReBind {args} {
				global AdminConfig AdminControl ldapBindDn ldapBindPassword 
				set ldapBindDn [lindex $args 0]
				set ldapBindPassword [lindex $args 1]        
      		set secMBeans [$AdminControl queryNames type=SecurityAdmin,*]
      		set plist  [list $ldapBindDn $ldapBindPassword]        
      		foreach secMBean $secMBeans {
           				set result [$AdminControl invoke $secMBean resetLdapBindInfo $plist] 
      	} 
	}

Umschalten auf einen Failover-LDAP-Host

Informationen zu diesem Vorgang

Wenn Sie die LDAP-Sicherheitsbindungsinformationen durch Wechsel zu einem Failover-LDAP-Host dynamisch aktualisieren möchten, gehen Sie wie folgt vor:

Vorgehensweise

  1. Klicken Sie in der Administrationskonsole auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "Repository für Benutzeraccounts" auf Eigenständige LDAP-Registry und anschließend auf Konfigurieren.
  3. Ändern Sie auf einem LDAP-Server das Kennwort für den Bind-DN. (Diesen Schritt können Sie auf den primären Server oder dem Backupserver ausführen.)
  4. Aktualisieren Sie das neue Kennwort für den Bind-DN in der Sicherheitslaufzeit von WebSphere Application Server. Rufen Sie dazu resetLdapBindInfo mit dem Bind-DN auf. Verwenden Sie das neue Kennwort als Parameter für den Aufruf.
  5. Verwenden Sie das neue Kennwort für den Bind-DN für alle anderen LDAP-Server. Die Bindungsinformationen sind jetzt für alle WebSphere Application Server und LDAP-Server konsistent.

    Wenn Sie resetLdapBindInfo mit null, null als Eingabeparametern aufrufen, führt die Sicherheitslaufzeitumgebung von WebSphere Application Server die folgenden Schritte aus:

    1. Sie liest den Bind-DN, das Kennwort für Bindung und die Ziel-LDAP-Hosts aus security.xml.
    2. Sie aktualisiert die zwischengespeicherte Verbindung auf dem LDAP-Server.

    Wenn Sie die Sicherheit für die Verwendung mehrerer LDAP-Server konfigurieren, setzt der Aufruf dieser MBean durch, dass die Sicherheit von WebSphere Application Server eine neue Verbindung zum ersten verfügbaren LDAP-Host in der Liste herstellt. Wenn beispielsweise drei LDAP-Server in der Reihenfolge L1, L2 und L3 konfiguriert sind, wird die neue Verbindung immer zuerst zum Server L1 hergestellt.

    Wenn das LDAP-Failover durch Zuordnung eines einzelnen Hostnamens zu mehreren IP-Adressen konfiguriert wird, kann die Eingabe eines ungültigen Kennworts zu mehreren LDAP-Bindungsversuchen führen. Bei Verwendung der Standardeinstellungen ist die Anzahl der LDAP-Bindungsversucht mit der Anzahl zugeordneter IP-Adresse plus 1 identisch. Das bedeutet, dass ein einziger ungültiger Anmeldeversuch zum Sperren des LDAP-Accounts führen kann. Wenn die angepasste Eigenschaft "com.ibm.websphere.security.registry.ldap.singleLDAP" auf "false" gesetzt ist, werden LDAP-Bindungsaufrufe nicht wiederholt.

    Wenn LDAP-Failover durch die Registrierung der Hostnamen von Back-End-LDAP-Servern mit dem wsadmin-Befehl konfiguriert wurde, setzen Sie die Eigenschaft "com.ibm.websphere.security.ldap.retryBind" auf "false".

    Fehler vermeiden Fehler vermeiden: Das eingebundene Repository unterstützt kein Failover durch Zuordnung eines einzigen Hostnamens zu mehreren IP-Adressen. Diese Einstellung gilt nur für eigenständiges LDAP. gotcha

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_updateldap_bind
Dateiname:tsec_updateldap_bind.html