跳转到主内容
Waters China

NuGenesis LMS 客户端的 LDAP 连接测试失败 - WKB23103

故障描述

  • 在 NuGenesis LMS 中测试 LDAP 服务器配置时,出现以下错误信息:“User or password is incorrect!”(用户或密码不正确!)
  • 使用相同的 LDAP 用户名和密码可以成功登录 Windows、NuGenesis SDMS 或 Empower

环境

  • NuGenesis 9 LMS
  • NuGenesis 8 LMS
  • NuGenesis 8 ELN

原因

  • 无效的 LDAP 配置会阻止 LMS 服务器连接到 LDAP 服务器;
  • LDAP 服务器处于离线状态;或者
  • Test Connection(测试连接)对话框中输入的用户名与 LDAP 服务器中的条目不匹配或多个匹配

解决方法

  1. 在 LMS 中验证各部分 LDAP 配置:
    • 在 URL 字段中检查协议类型和服务器名称
      • NuGenesis 8 - 9.2:如果使用非安全 LDAP,则协议应为 ldap://;如果使用安全 LDAP,则为 ldaps://
      • NuGenesis 9.3+:“验证类型”应为“LDAP SSL”或“LDAP TLS”
      • URL 字段中的服务器名称必须是有效 LDAP 服务器的名称或完全符合条件的名称
    • 确认端口是否正确
      • NuGenesis 8 - 9.2:非安全 LDAP 的缺省端口为 389,安全 LDAP 的缺省端口为 636
      • NuGenesis 9.3+:除非客户的 IT 团队指定,否则对于“LDAP”和“LDAP TLS”验证类型,请使用端口 389,对于“LDAP SSL”请使用 636
    • 确认绑定的用户和密码是否正确
    • 确认基准 DN 是否正确
    • 清除 LDAP 筛选器
    • 为用户 ID 使用正确的 LDAP 属性:Active Directory 服务器为 sAMAccountName;non-Active Directory 服务器为 UID
  2. 如果有 LDAP 筛选器,则必须使用 LDAP 查询语法。例如:(objectClass=user)
    • 大多数情况下不需要 LDAP 筛选器
    • 如果需要,请在筛选器周围使用括号 - ()。LMS 服务器会将该筛选器添加到缺省筛选器。例如:(&(uid=username)(objectClass=user))
  3. 如果使用安全 LDAP,请按照链接文章中的说明将证书添加到 LMS 服务器
  4. 检查 LMS 服务器日志文件中与 LDAP 相关的错误信息
  5. 使用 Softerra LDAP Browser 工具连接到 LDAP 服务器,并运行相同的查询操作
  6. 如果 LDAP 服务器返回的结果与多个搜索结果匹配,LMS 将显示错误信息

附加信息

server.log 中的一条错误消息示例表示 LDAP 服务器提供的证书存在问题:

  • 访问 LDAP 服务器时出现问题,例如,用户在 LDAP 中不可用:javax.naming.CommunicationException: simple bind failed: ldapserver:636 [Root exception is javax.net.ssl.SSLHandshakeException: KeyUsage does not allow digital signatures]

在 NuGenesis 9.3+ 服务器中,如果 LDAP 服务器自己的证书未在其 KeyUsage 参数中指定“digitalSignatures”,则会出现此信息。

id23103, ELN, NGLMS, NGLMSLIC, NGLMSOPT, SUPNG