更新 LDAP 绑定信息

使用此信息通过切换到不同的绑定标识来动态地更新安全性 LDAP 绑定信息。

关于此任务

可以动态地更新轻量级目录访问协议 (LDAP) 绑定信息,而不必首先使用 wsadmin 工具停止并重新启动 WebSphere® Application Server

SecurityAdmin MBean 中的 resetLdapBindInfo 方法用来在 WebSphere Application Server 安全性运行时动态地更新 LDAP 绑定信息,并且该方法采用绑定专有名称 (DN) 参数和绑定密码参数作为输入。resetLdapBindInfo 方法对照 LDAP 服务器验证绑定信息。如果通过了验证,那么新的绑定信息存储在 security.xml 中,并且该信息的副本放置在 WebSphere Application Server 安全性运行时中。

MBean 方法还使从单元到节点的 security.xml 中的绑定信息更改同步。

如果新的绑定信息为 null, null,那么 resetLdapBindInfo 方法首先从 WebSphere Application Server 安全性配置的 security.xml 中抽取 LDAP 绑定信息,包括绑定 DN、绑定密码和目标绑定主机。然后,它将绑定信息推送到 WebSphere Application Server 安全性运行时。

通过 wsadmin 使用 SecurityAdmin MBean 以动态更新 WebSphere Application Server 安全性 LDAP 绑定信息有两种方式:

切换到不同的绑定标识

关于此任务

要通过切换到不同的绑定标识来动态地更新安全性 LDAP 绑定信息:

过程

  1. 在管理控制台中,单击安全性 > 全局安全性
  2. 在“用户帐户存储库”下,单击可用的领域定义下拉列表,选择独立 LDAP 注册表,然后单击配置
  3. 这就创建了一个新的绑定 DN。它必须具有当前绑定 DN 所具有的访问权。
  4. 跨所有进程(Deployment Manager、节点和应用程序服务器)运行 SecurityAdmin MBean,以验证新的绑定信息、将它保存到 security.xml 并将新的绑定信息推送到运行时。

示例

以下是步骤 4 的样本 Jacl 文件:
proc LDAPReBind {args} {
		global AdminConfig AdminControl ldapBindDn ldapBindPassword 
		set ldapBindDn [lindex $args 0]
		set ldapBindPassword [lindex $args 1]        
      	set secMBeans [$AdminControl queryNames type=SecurityAdmin,*]
      	set plist  [list $ldapBindDn $ldapBindPassword]        
      	foreach secMBean $secMBeans {
           		set result [$AdminControl invoke $secMBean resetLdapBindInfo $plist] 
      	} 
	}

切换到故障转移 LDAP 主机

关于此任务

要通过切换到故障转移 LDAP 主机来动态地更新安全性 LDAP 绑定信息:

过程

  1. 在管理控制台中,单击安全性 > 全局安全性
  2. 在“用户帐户存储库”下,选择独立 LDAP 注册表,然后单击配置
  3. 在一个 LDAP 服务器(它可以是主服务器或备份服务器)上更改绑定 DN 的密码。
  4. 通过使用绑定 DN 调用 resetLdapBindInfo 并通过使用绑定 DN 的新密码作为参数,更新新的绑定 DN 密码并将它推送到 WebSphere Application 安全性运行时。
  5. 对所有其他 LDAP 服务器使用新的绑定 DN 密码。现在绑定信息在 WebSphere Application Server 和 LDAP 服务器之间是一致的。

    如果使用 null, null 作为输入参数调用 resetLdapBindInfo,那么 WebSphere Application Server 安全性运行时会完成以下步骤:

    1. security.xml 读取绑定 DN、绑定密码和目标 LDAP 主机。
    2. 刷新已高速缓存的与 LDAP 服务器的连接。

    如果您配置安全性以使用多个 LDAP 服务器,那么此 MBean 调用会强制 WebSphere Application Server 安全性重新连接列表中的第一个可用 LDAP 主机。例如,如果按顺序 L1、L2 和 L3 配置了 3 个 LDAP 服务器,那么重新连接进程总是从 L1 服务器开始。

    通过将单个主机名关联至多个 IP 地址来配置 LDAP 故障转移时,输入无效密码会导致进行多次 LDAP 绑定重试。使用缺省设置时,LDAP 绑定重试次数等于关联的 IP 地址数目加 1。这意味着单次无效登录尝试会导致 LDAP 帐户锁定。如果将 com.ibm.websphere.security.registry.ldap.singleLDAP 定制属性设置为 false,那么将不重试 LDAP 绑定调用。

    通过使用 wsadmin 命令注册后端 LDAP 服务器主机名配置 LDAP 故障转移后,请将 com.ibm.websphere.security.ldap.retryBind 属性设置为 false。

    避免故障 避免故障: 联合存储库不支持通过将单个主机名关联至多个 IP 地址来进行故障转移。此功能仅在独立 LDAP 中可用。gotcha

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_updateldap_bind
文件名:tsec_updateldap_bind.html