LDAP 바인딩 정보 업데이트

다른 바인딩 ID로 전환하여 보안 LDAP 바인딩 정보를 동적으로 업데이트하려면 이 정보를 사용하십시오.

이 태스크 정보

wsadmin 도구를 사용하여 WebSphere® Application Server를 먼저 중지한 후 다시 시작하지 않고 LDAP(Lightweight Directory Access Protocol) 바인딩 정보를 동적으로 업데이트할 수 있습니다.

SecurityAdmin MBean에서 resetLdapBindInfo 메소드는 WebSphere Application Server 보안 런타임에서 LDAP 바인딩 정보를 동적으로 업데이트하는 데 사용되고, 이는 바인드 식별 이름(DN) 및 바인드 비밀번호 매개변수를 입력으로서 사용합니다. resetLdapBindInfo 메소드는 LDAP 서버에 대하여 바인딩 정보를 유효성 검증합니다. 유효성 검증이 통과하면, 새 바인딩 정보는 security.xml에 저장되고 정보의 사본이 WebSphere Application Server 보안 런타임에 배치됩니다.

MBean 메소드는 또한 셀에서부터 노드까지 security.xml에서 결합된 정보 변경을 동기화시킵니다.

새 바인딩 정보가 null, null이면, resetLdapBindInfo 메소드는 먼저 security.xml 파일에서 바인드 DN, 바인드 비밀번호 및 대상 바인딩 호스트를 포함하여 LDAP 바인딩 정보를 WebSphere Application Server 보안 구성으로부터 추출합니다. 그런 다음 바인딩 정보를 WebSphere Application Server 보안 런타임으로 푸시합니다.

wsadmin을 통해 SecurityAdmin MBean을 사용하여 WebSphere Application Server 보안 LDAP 바인딩 정보를 동적으로 업데이트하는 데에는 두 가지 방법이 있습니다.

다른 바인딩 ID로 전환

이 태스크 정보

다른 바인딩 ID로 전환하여 보안 LDAP 바인딩 정보를 동적으로 업데이트하려면 다음을 수행하십시오.

프로시저

  1. 관리 콘솔에서 보안 > 글로벌 보안을 클릭하십시오.
  2. 사용자 계정 저장소 아래에서 사용 가능한 영역 정의 드롭 다운 목록을 클릭하고 선택 LDAP 레지스트리를 선택한 후 구성을 클릭하십시오.
  3. 새 바인드 DN을 작성하십시오. 현재 바인드 DN과 동일한 액세스 권한이 있어야 합니다.
  4. 모든 프로세스(배치 관리자, 노드 및 Application Server)에 걸쳐 SecurityAdmin MBean을 실행하여 새 바인딩 정보를 유효성 검증하고, 이를 security.xml에 저장하고, 새 바인딩 정보를 런타임으로 푸시하십시오.

다음은 4단계의 샘플 Jacl 파일입니다.
proc LDAPReBind {args} {
		global AdminConfig AdminControl ldapBindDn ldapBindPassword 
		set ldapBindDn [lindex $args 0]
		set ldapBindPassword [lindex $args 1]        
      	set secMBeans [$AdminControl queryNames type=SecurityAdmin,*]
      	set plist  [list $ldapBindDn $ldapBindPassword]        
      	foreach secMBean $secMBeans {
           		set result [$AdminControl invoke $secMBean resetLdapBindInfo $plist] 
      	} 
	}

장애 복구 LDAP 호스트로 전환

이 태스크 정보

장애 복구 LDAP 호스트로 전환하여 보안 LDAP 바인딩 정보를 동적으로 업데이트하십시오.

프로시저

  1. 관리 콘솔에서 보안 > 글로벌 보안을 클릭하십시오.
  2. 사용자 계정 저장소 아래에서 독립형 LDAP 레지스트리를 선택한 다음 구성을 클릭하십시오.
  3. 한 LDAP 서버에서 바인드 DN의 비밀번호를 변경하십시오(1차이거나 백업일 수 있음).
  4. 바인드 DN으로 resetLdapBindInfo를 호출하고 새 비밀번호를 매개변수로서 사용하여 새 바인드 DN 비밀번호를 WebSphere Application 보안 런타임으로 업데이트하십시오.
  5. 다른 모든 LDAP 서버에 대해 새 바인드 DN 비밀번호를 사용하십시오. 바인딩 정보는 이제 WebSphere Application Server와 LDAP 서버 간에 일관됩니다.

    null을 입력 매개변수로 사용하여 null이 있는 resetLdapBindInfo를 호출하는 경우에는 WebSphere Application Server 보안 런타임이 다음 단계를 완료합니다.

    1. 바인드 DN, 바인드 비밀번호 및 대상 LDAP 호스트를 security.xml로부터 읽으십시오.
    2. LDAP 서버로의 캐싱된 연결을 새로 고치십시오.

    여러 LDAP 서버를 사용하도록 보안을 구성하는 경우에는 이 MBean 호출은 목록에서 첫 번째로 사용 가능한 LDAP 호스트에 다시 연결하도록 WebSphere Application Server 보안을 강제 실행합니다. 예를 들어, 세 개의 LDAP 서버가 L1, L2 및 L3의 순서로 구성되어 있는 경우에는 재연결 프로세스는 항상 L1 서버부터 시작합니다.

    단일 호스트 이름을 여러 IP 주소로 연관시켜서 LDAP 장애 복구가 구성되면 올바르지 않은 비밀번호를 입력하면 여러 LDAP 바인드 재시도를 초래할 수 있습니다. 기본 설정을 사용하면 LDAP 바인드 재시도 수는 연관된 IP 주소의 수보다 하나가 많은 것과 같습니다. 이는 올바르지 않은 하나의 로그인 시도로 인해 LDAP 계정이 잠길 수 있음을 의미합니다. com.ibm.websphere.security.registry.ldap.singleLDAP 사용자 정의 특성이 false로 설정되면, LDAP 바인드 호출이 재시도되지 않습니다.

    LDAP 장애 복구가 wsadmin 명령을 사용하여 백엔드 LDAP 서버 호스트 이름을 등록하여 구성되면 com.ibm.websphere.security.ldap.retryBind 특성을 false로 설정하십시오.

    문제점 방지 문제점 방지: 연합 저장소는 단일 호스트 이름을 여러 IP 주소와 연관시켜서 장애 복구를 지원하지 않습니다. 이 기능은 독립형 LDAP에서만 사용 가능합니다.gotcha

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_updateldap_bind
파일 이름:tsec_updateldap_bind.html