LDAP バインディング情報の更新

別のバインディング ID に切り替えて、セキュリティー LDAP バインディング情報を動的に更新するには、ここに記載された情報を使用します。

このタスクについて

wsadmin ツールを使用して WebSphere® Application Server を最初に停止し、再始動しなくても、Lightweight Directory Access Protocol (LDAP) バインディング情報を動的に更新できます。

SecurityAdmin MBean 内の resetLdapBindInfo メソッドを使用すると、WebSphere Application Server セキュリティー・ランタイム時に LDAP バインディング情報が動的に更新され、バインド識別名 (DN) およびバインド・パスワード・パラメーターが入力として使用されます。 resetLdapBindInfo メソッドは LDAP サーバーに対してバインディング情報を検証します。 検証に合格すると、新規バインディング情報が security.xml に保管され、情報のコピーが WebSphere Application Server セキュリティー・ランタイムに格納されます。

また、MBean メソッドは security.xml のバインディング情報の変更をセルからノードに同期化します。

新規バインディング情報が null の場合、resetLdapBindInfo メソッドは最初にバインド DN、バインド・パスワード、およびターゲット・バインディング・ホストなどの LDAP バインディング情報を security.xmlWebSphere Application Server セキュリティー構成から抽出します。その後、バインディング情報を WebSphere Application Server セキュリティー・ランタイムにプッシュします。

wsadmin を介して SecurityAdmin MBean を使用し、WebSphere Application Server セキュリティー LDAP バインディング情報を動的に更新する方法は 2 つあります。

別のバインディング ID への切り替え

このタスクについて

別のバインディング ID に切り替えて、セキュリティー LDAP バインディング情報を動的に更新する手順は、以下のとおりです。

手順

  1. 管理コンソールで、「セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「ユーザー・アカウント・リポジトリー」において、 「使用可能なレルム定義」ドロップダウン・リストをクリックして、 「スタンドアロン LDAP レジストリー」を選択し、 「構成」をクリックします。
  3. 新規バインド DN を作成します。このバインド DN は、現在のバインド DN とアクセス権限が同じでなければなりません。
  4. すべてのプロセス (デプロイメント・マネージャー、ノード、およびアプリケーション・サーバー) で SecurityAdmin MBean を実行して、新規バインディング情報を検証し、security.xml に保存して、新規バインディング情報をランタイムにプッシュします。

以下は、ステップ 4 の Jacl ファイルの例です。
proc LDAPReBind {args} {
				global AdminConfig AdminControl ldapBindDn ldapBindPassword
				set ldapBindDn [lindex $args 0]
				set ldapBindPassword [lindex $args 1]
      		set secMBeans [$AdminControl queryNames type=SecurityAdmin,*]
      		set plist  [list $ldapBindDn $ldapBindPassword]
      		foreach secMBean $secMBeans {
           				set result [$AdminControl invoke $secMBean resetLdapBindInfo $plist]
      	} 
	}

フェイルオーバー LDAP ホストへの切り替え

このタスクについて

フェイルオーバー LDAP ホストに切り替えて、セキュリティー LDAP バインディング情報を動的に更新する手順は、以下のとおりです。

手順

  1. 管理コンソールで、「セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「ユーザー・アカウント・リポジトリー」において、「スタンドアロン LDAP レジストリー」を選択し、「構成」をクリックします。
  3. 特定の LDAP サーバー (プライマリーまたはバックアップ) のバインド DN のパスワードを変更します。
  4. バインド DN を使用して resetLdapBindInfo を呼び出し、新規パスワードをパラメーターに使用して、WebSphere Application セキュリティー・ランタイムに対する新規バインド DN パスワードを更新します。
  5. その他のすべての LDAP サーバーに新規バインド DN パスワードを使用します。 これで、バインディング情報は WebSphere Application Server および LDAP サーバーで一貫性が保たれます。

    入力パラメーターに null を使用して resetLdapBindInfo を呼び出した場合、WebSphere Application Server セキュリティー・ランタイムは以下のステップを実行します。

    1. バインド DN、バインド・パスワード、およびターゲット LDAP ホストを security.xml から読み取ります。
    2. キャッシュに格納された LDAP サーバーとの接続を更新します。

    複数の LDAP サーバーを使用するようにセキュリティーが構成されている場合に、この MBean を呼び出すと、WebSphere Application Server セキュリティーはリスト内の最初に使用可能な LDAP ホストに強制的に再接続します。 例えば、3 つの LDAP サーバーが L1、L2、および L3 の順に構成されている場合、再接続プロセスは常に L1 サーバーから開始します。

    単一ホスト名を複数の IP アドレスに関連付けることにより LDAP フェイルオーバーが構成された場合、無効なパスワードを入力すると、LDAP バインドの再試行が複数回発生する場合があります。デフォルト設定では、LDAP バインドの再試行の回数は関連付けられる IP アドレスの数より 1 回多くなります。 これは、単一の無効なログインの試行により LDAP アカウントがロックされる場合があることを示します。com.ibm.websphere.security.registry.ldap.singleLDAP カスタム・プロパティーが false に設定されている場合には、LDAP バインド呼び出しは再試行されません。

    wsadmin コマンドを使用してバックエンド LDAP サーバー・ホスト名を登録することで LDAP フェイルオーバーが構成されている場合には、 com.ibm.websphere.security.ldap.retryBind プロパティーに false を設定します。

    トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): 統合リポジトリー では、単一のホスト名を複数の IP アドレスに関連付けることによるフェイルオーバーはサポートされていません。 このフィーチャーはスタンドアロン LDAP でのみ使用可能です。gotcha

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_updateldap_bind
ファイル名:tsec_updateldap_bind.html