Mise à jour des informations de liaison LDAP

Utilisez ces informations pour mettre à jour dynamiquement les informations de liaison LDAP de sécurité en basculant sur une autre identité de liaison.

Pourquoi et quand exécuter cette tâche

Vous pouvez mettre jour les informations de liaison LDAP (Lightweight Directory Access Protocol) de manière dynamique sans avoir à arrêter et redémarrer WebSphere Application Server à l'aide de l'outil wsadmin.

La méthode resetLdapBindInfo dans SecurityAdmin MBean est utilisée pour mettre à jour de manière dynamique les informations de liaison LDAP pour le module d'exécution de sécurité WebSphere Application Server et elle utilise les paramètres de nom distinctif et de mot de passe comme entrée. La méthode resetLdapBindInfo valide les informations de liaison en les comparant sur le serveur LDAP. Si la validation est positive, les nouvelles informations de liaison sont enregistrées dans security.xml et une copie de ces dernières est placée dans le module d'exécution de WebSphere Application Server.

La méthode MBean synchronise également la modification des informations de liaison dans security.xml, des cellules vers les noeuds.

Si les nouvelles informations de liaison sont null, null, y compris le nom distinctif et le mot de passe de liaison, ainsi que l'hôte de liaison cible à partir de la configuration de la sécurité WebSphere Application Server dans security.xml. Elle place ensuite les informations dans le module d'exécution de sécurité de WebSphere Application Server.

La mise à jour dynamique des informations de liaison LDAP de la sécurité WebSphere Application Server peut s'effectuer de deux manières à l'aide de SecurityAdmin MBean via wsadmin:

Basculement sur une autre identité de liaison

Pourquoi et quand exécuter cette tâche

Pour mettre à jour dynamiquement les informations de liaisons LDAP de sécurité en basculant sur une autre identité de liaison :

Procédure

  1. Dans la console d'administration, sélectionnez Sécurité > Sécurité globale.
  2. Sous Référentiel du compte d'utilisateur, cliquez sur Registre LDAP autonome puis sur Configurer.
  3. Créez un autre nom distinctif de liaison. Il doit posséder la même autorité d'accès que le nom distinctif de liaison actuel.
  4. Exécutez la méthode SecurityAdmin MBean sur tous les processus (gestionnaire de déploiement, noeuds et serveurs d'applications) pour valider les nouvelles informations de liaison, les enregistrer dans security.xml et les placer lors de l'exécution.

Exemple

Voici un exemple de fichier JACL pour l'étape 4 :
proc LDAPReBind {args} {
		global AdminConfig AdminControl ldapBindDn ldapBindPassword 
		set ldapBindDn [lindex $args 0]
		set ldapBindPassword [lindex $args 1]        
      	set secMBeans [$AdminControl queryNames type=SecurityAdmin,*]
      	set plist  [list $ldapBindDn $ldapBindPassword]        
      	foreach secMBean $secMBeans {
           		set result [$AdminControl invoke $secMBean resetLdapBindInfo $plist] 
      	} 
	}

Basculement sur un hôte LDAP de reprise en ligne

Pourquoi et quand exécuter cette tâche

Pour mettre à jour dynamiquement les informations de liaisons LDAP de sécurité en basculant sur un hôte LDAP de reprise en ligne :

Procédure

  1. Dans la console d'administration, sélectionnez Sécurité > Sécurité globale.
  2. Sous Référentiel du compte d'utilisateur, cliquez sur Registre LDAP autonome puis sur Configurer.
  3. Modifiez le mot de passe pour le nom distinctif de liaison sur un serveur LDAP (il peut s'agir du serveur principal ou de sauvegarde).
  4. Mettez à jour le nouveau mot de passe de nom distinctif de liaison dans l'exécution de sécurité de WebSphere Application Server en appelant resetLdapBindInfo avec le nom distinctif de liaison et en utilisant son nouveau mot de passe comme paramètre.
  5. Utilisez le nouveau mot de passe de nom distinctif de liaison pour tous les autres serveurs LDAP. Les informations de liaison sont maintenant cohérentes dans WebSphere Application Server et sur les serveurs LDAP.

    Si vous appelez resetLdapBindInfo avec les paramètres d'entrée null, null, le module d'exécution de sécurité WebSphere Application Server applique la procédure suivante :

    1. Elle lit le nom distinctif et le mot de passe de liaison, ainsi que les hôtes LDAP cible dans le fichier security.xml.
    2. Elle actualise la connexion mise en mémoire cache sur le serveur LDAP.

    Si vous configurez la sécurité pour l'utilisation de plusieurs serveurs LDAP, l'appel MBean force la sécurité WebSphere Application Server pour reconnecter le premier hôte LDAP dans la liste. Par exemple, si trois serveurs LDAP sont configurés dans l'ordre L1, L2 et L3, le processus de reconnexion commence toujours par le serveur L1.

    Quand la reprise en ligne LDAP est configurée en associant un seul nom d'hôte à plusieurs adresses IP, la saisie d'un mot de passe non valide peut causer de multiples nouvelles tentatives de liaison LDAP. Avec les paramètres par défaut, le nombre de nouvelles tentatives de liaison LDAP est égal au nombre d'adresses IP associées plus un. Cela signifie qu'une seule tentative de connexion non valide peut causer le verrouillage du compte LDAP. Si la propriété personnalisée com.ibm.websphere.security.registry.ldap.singleLDAP est associée à la valeur false, les appels de liaison LDAP ne font pas l'objet d'une nouvelle tentative.

    Lorsque la reprise en ligne LDAP est configurée via l'enregistrement de noms d'hôte de serveur LDAP dorsaux avec la commande wsadmin, associez la propriété com.ibm.websphere.security.ldap.retryBind à la valeur false.

    Eviter les incidents Eviter les incidents: Le référentiel fédéré, ne prend pas en charge le basculement par l'association d'un seul nom d'hôte à plusieurs adresses IP. Cette fonction est disponible uniquement dans LDAP autonome.gotcha

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_updateldap_bind
Nom du fichier : tsec_updateldap_bind.html