NuGenesis LMS 客户端的 LDAP 连接测试失败 - WKB23103
文章编号: 23103点击此处访问英文版本文章
故障描述
- 在 NuGenesis LMS 中测试 LDAP 服务器配置时,出现以下错误信息:“User or password is incorrect!”(用户或密码不正确!)
- 使用相同的 LDAP 用户名和密码可以成功登录 Windows、NuGenesis SDMS 或 Empower
环境
- NuGenesis 9 LMS
- NuGenesis 8 LMS
- NuGenesis 8 ELN
原因
- 无效的 LDAP 配置会阻止 LMS 服务器连接到 LDAP 服务器;
- LDAP 服务器处于离线状态;或者
- Test Connection(测试连接)对话框中输入的用户名与 LDAP 服务器中的条目不匹配或多个匹配
解决方法
- 在 LMS 中验证各部分 LDAP 配置:
- 在 URL 字段中检查协议类型和服务器名称
- NuGenesis 8 - 9.2:如果使用非安全 LDAP,则协议应为 ldap://;如果使用安全 LDAP,则为 ldaps://
- NuGenesis 9.3+:“验证类型”应为“LDAP SSL”或“LDAP TLS”
- URL 字段中的服务器名称必须是有效 LDAP 服务器的名称或完全符合条件的名称
- 确认端口是否正确
- NuGenesis 8 - 9.2:非安全 LDAP 的缺省端口为 389,安全 LDAP 的缺省端口为 636
- NuGenesis 9.3+:除非客户的 IT 团队指定,否则对于“LDAP”和“LDAP TLS”验证类型,请使用端口 389,对于“LDAP SSL”请使用 636
- 确认绑定的用户和密码是否正确
- 确认基准 DN 是否正确
- 清除 LDAP 筛选器
- 为用户 ID 使用正确的 LDAP 属性:Active Directory 服务器为 sAMAccountName;non-Active Directory 服务器为 UID
- 在 URL 字段中检查协议类型和服务器名称
- 如果有 LDAP 筛选器,则必须使用 LDAP 查询语法。例如:(objectClass=user)
- 大多数情况下不需要 LDAP 筛选器
- 如果需要,请在筛选器周围使用括号 - ()。LMS 服务器会将该筛选器添加到缺省筛选器。例如:(&(uid=username)(objectClass=user))
- 如果使用安全 LDAP,请按照链接文章中的说明将证书添加到 LMS 服务器
- 检查 LMS 服务器日志文件中与 LDAP 相关的错误信息
- 使用 Softerra LDAP Browser 工具连接到 LDAP 服务器,并运行相同的查询操作
- 如果 LDAP 服务器返回的结果与多个搜索结果匹配,LMS 将显示错误信息
附加信息
server.log 中的一条错误消息示例表示 LDAP 服务器提供的证书存在问题:
- 访问 LDAP 服务器时出现问题,例如,用户在 LDAP 中不可用:javax.naming.CommunicationException: simple bind failed: ldapserver:636 [Root exception is javax.net.ssl.SSLHandshakeException: KeyUsage does not allow digital signatures]
在 NuGenesis 9.3+ 服务器中,如果 LDAP 服务器自己的证书未在其 KeyUsage 参数中指定“digitalSignatures”,则会出现此信息。
id23103, ELN, NGLMS, NGLMSLIC, NGLMSOPT, SUPNG