Actualización de la información del enlace LDAP

Utilice esta información para actualizar dinámicamente la información del enlace LDAP de seguridad adoptando una identidad de enlace diferente.

Acerca de esta tarea

Puede actualizar dinámicamente la información del enlace LDAP (Lightweight Directory Access Protocol) sin tener que detener y reiniciar primero WebSphere Application Server utilizando la herramienta wsadmin.

El método resetLdapBindInfo en SecurityAdmin MBean se utiliza para actualizar dinámicamente la información del enlace LDAP durante el tiempo de ejecución de la seguridad de WebSphere Application Server, toma los parámetros del nombre distinguido (DN) y la contraseña de enlace como entrada. El método resetLdapBindInfo valida la información de enlace respecto al servidor LDAP. Si se supera la validación, la nueva información de enlace se almacena en security.xml, y se coloca una copia de la información en el tiempo de ejecución de la seguridad de WebSphere Application Server.

El método MBean también sincroniza el cambio de la información de enlace en security.xml de la célula a los nodos.

Si la nueva información de enlace es null, null, en primer lugar, el método resetLdapBindInfo extrae la información de enlace LDAP, incluido el DN y la contraseña de enlace y el host de enlace de destino de la configuración de seguridad de WebSphere Application Server en security.xml. A continuación, envía la información de enlace al tiempo de ejecución de la seguridad de WebSphere Application Server.

Existen dos formas de actualizar dinámicamente la información de enlace LDA de seguridad de WebSphere Application Server utilizando SecurityAdmin MBean a través de wsadmin:

Cambio a una identidad de enlace diferente

Acerca de esta tarea

Para actualizar dinámicamente la información de enlace LDAP de seguridad adoptando una identidad de enlace diferente:

Procedimiento

  1. En la consola administrativa, pulse Seguridad > Seguridad global.
  2. En Repositorio de cuentas de usuario,pulse la lista desplegable Definiciones de reino disponibles, seleccione Registro LDAP autónomo y pulse Configurar.
  3. Cree un nuevo DN de enlace. Debe tener la misma autoridad de acceso que el DN de enlace actual.
  4. Ejecute SecurityAdmin MBean entre todos los procesos (gestor de despliegue, nodos y servidores de aplicaciones) para validar la nueva información de enlace, guardarla en security.xml y enviar la nueva información de enlace al tiempo de ejecución.

Ejemplo

A continuación, aparece un archivo Jacl de ejemplo para el paso 4:
proc LDAPReBind {args} {
				global AdminConfig AdminControl ldapBindDn ldapBindPassword 
				set ldapBindDn [lindex $args 0]
				set ldapBindPassword [lindex $args 1]        
      		set secMBeans [$AdminControl queryNames type=SecurityAdmin,*]
      		set plist  [list $ldapBindDn $ldapBindPassword]        
      		foreach secMBean $secMBeans {
           				set result [$AdminControl invoke $secMBean resetLdapBindInfo $plist] 
      	} 
	}

Cambio a un host LDAP de migración tras error

Acerca de esta tarea

Para actualizar dinámicamente la información de enlace LDAP de seguridad cambiando a un host LDAP de migración tras error.

Procedimiento

  1. En la consola administrativa, pulse Seguridad > Seguridad global.
  2. En el repositorio de cuentas de usuario, seleccione Registro LDAP autónomo y pulse Configurar.
  3. Cambie la contraseña del DN de enlace en un servidor LDAP (puede ser el principal o la copia de seguridad).
  4. Actualice la nueva contraseña del DN de enlace durante el tiempo de ejecución de WebSphere Application security llamando a resetLdapBindInfo con el DN de enlace y utilizando la nueva contraseña como parámetro.
  5. Utilice la nueva contraseña del DN de enlace para todos los demás servidores LDAP. Ahora la información de enlace es coherente entre WebSphere Application Server y los servidores LDAP.

    Si llama a resetLdapBindInfo con null, null como parámetros de entrada, el tiempo de ejecución de la seguridad de WebSphere Application Server completa los pasos siguientes:

    1. Lee el DN de enlace, la contraseña de enlace y los hosts LDAP de destino desde security.xml.
    2. Renueva la conexión de la memoria caché en el servidor LDAP.

    Si configura la seguridad para utilizar varios servidores LDAP, esta llamada de MBean obliga a la seguridad de WebSphere Application Server a volverse a conectar al primer host LDAP disponible de la lista. Por ejemplo, si se han configurado tres servidores LDAP en el orden L1, L2 y L3, el proceso de reconexión siempre empezará con el servidor L1.

    Cuando la migración tras error de LDAP se configura asociando un nombre de host individual a varias direcciones IP, la especificación de una contraseña no válida puede provocar varios reintentos de enlace LDAP. Con los valores predeterminados, el número de reintentos de enlaces LDAP es igual a uno más el número de direcciones IP asociadas. Esto significa que un solo intento de inicio de sesión no válido puede hacer que se bloquee la cuenta LDAP. Si la propiedad personalizada com.ibm.websphere.security.registry.ldap.singleLDAP se establece en false, no se reintentan las llamadas de enlace LDAP.

    Cuando se ha configurado la migración tras error de LDAP registrando nombres de host de servidor LDAP de fondo utilizando el mandato wsadmin, establezca la propiedad com.ibm.websphere.security.ldap.retryBind en false.

    Avoid trouble Avoid trouble: El repositorio federado no soporta la sustitución por anomalía mediante la asociación de un nombre de host individual con varias direcciones IP. Esta característica sólo está disponible en LDAP autónomo.gotcha

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_updateldap_bind
File name: tsec_updateldap_bind.html