跳转到主内容
Waters员工入口

Knowledge Base Home

Waters China

Active Directory 中的 LDAP 签名会影响 NuGenesis 9 SDMS 中的 TLS LDAP 连接 - WKB194682

  1. 最后更新
  2. 另存为PDF
文章编号: 194682点击此处访问英文版本文章

故障描述

  • 使用 LDAP 帐户登录 SDMS 时,SDMS Administrator 或 SDMS WebVision 中出现以下错误;该消息通常会等待几分钟后出现;有时错误不会出现,应用程序从不响应
    • [NG17543] LDAP driver reports error: Can't contact LDAP server (-1) : 00002028: LDapErr: DSID-0C090259, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data 0, v4563 Can't contact LDAP server Unable to search the LDAP Directory([NG17543] LDAP 驱动程序报告错误:无法连接 LDAP 服务器 (-1):00002028: LDapErr: DSID-0C090259,注释:服务器需要绑定才能打开完整性检查,如果 SSL\TLS 在连接上尚未处于活动状态,data 0, v4563 无法连接 LDAP 服务器。无法搜索 LDAP 目录)
  • SDMS Administrator 中的 LDAP 连接测试成功

环境

  • NuGenesis 9 SDMS
  • LDAP 签名在 Active Directory 服务器中处于活动状态

原因

SDMS 用于 LDAP 验证的软件库存在缺陷,这意味着 SDMS 会尝试通过未加密的会话连接到引用。主连接使用 STARTTLS 扩展建立,并使用 TLS 1.2 加密。库应将 TLS 用于引用,但它们没有,因此 AD 服务器会阻止连接。

解决方法

  1. 有一个适用于 NuGenesis 9.1 SDMS 的软件补丁,该补丁将应用程序更改为使用 LDAPS 而不是 STARTTLS 扩展。测试已确认,当 SDMS 中配置了 TLS 且存在此补丁时,TLS 对于所有绑定(初始绑定和引用)均处于活动状态。
  2. 请联系 Waters 技术支持或您的现场服务工程师获取此补丁的副本。
  3. 该补丁需要对 SDMS 中的 LDAP 连接参数进行微小更改。以前,对于 STARTTLS 扩展,应用程序将绑定到端口 389 并指定该扩展,这将启动 TLS 协议协商。现在,对于 LDAPS,服务器首先启动 TLS 协商,因此必须使用端口 636。

附加信息

此问题不会影响 NuGenesis 9.1 中的 LMS。LMS 使用 LDAPS 进行安全 LDAP 验证。

id194682, SDMS, SDMS8, SDMS8NU, SUPISDMS, SUPNG