メインコンテンツへスキップ
Waters Employee Login
Waters Japan

Active Directory の LDAP 署名が、NuGenesis 9 SDMS の TLS LDAP 接続に影響する - WKB194682

  1. 最後の更新
  2. PDFとして保存
Article number: 194682To English version

症状

  • LDAP アカウントで SDMS にログインすると、SDMS Administrator または SDMS WebVision に以下のエラーが表示される。このメッセージは通常、数分待った後に表示される。エラーが表示されず、アプリケーションが応答しないことがある
    • [NG17543] LDAP driver reports error: Can't contact LDAP server (-1) : 00002028: LDapErr: DSID-0C090259, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data 0, v4563 Can't contact LDAP server Unable to search the LDAP Directory ([NG17543] LDAP ドライバーがエラーを報告します:LDAP サーバーに接続できません (-1):00002028:LDapErr:DSID-0C090259、コメント:SSL\TLS が接続ですでにアクティブでない場合、サーバーには整合性チェックをオンにするためにバインドが必要です、データ 0、v4563 LDAP サーバーに接続して LDAP ディレクトリーを検索できません)
  • SDMS Administrator での LDAP 接続テストが正常

環境

  • NuGenesis 9 SDMS
  • Active Directory サーバーで LDAP 署名がアクティブになっている

原因

SDMS が LDAP 認証に使用するソフトウェアライブラリーにおける不具合は、SDMS が暗号化されていないセッションで参照に接続しようとすることを意味します。主な接続は STARTTLS 拡張で行われ、TLS 1.2 で暗号化されます。ライブラリーは参照に TLS を使用する必要がありますが、使用していないため、AD サーバーは接続をブロックします。

解決策

  1. STARTTLS 拡張の代わりに LDAPS を使用するようにアプリケーションを変更する、NuGenesis 9.1 SDMS 用のソフトウェアパッチが入手可能です。SDMS で TLS が設定され、このパッチが存在する場合、TLS がすべてのバインド(初期および参照)に対してアクティブであることがテストによって確認されています。
  2. Waters テクニカルサポートまたはフィールドサービスエンジニアに連絡して、このパッチのコピーを入手してください。
  3. このパッチには、SDMS における LDAP 接続パラメーターへの小さな変更が必要です。以前は、アプリケーションは STARTTLS 拡張を使用して、ポート 389 にバインドし、その拡張を指定しました。これにより、TLS プロトコルネゴシエーションが開始されました。現在では、LDAPS によりサーバーは最初に TLS ネゴシエーションを開始するため、ポート 636 を使用する必要があります。

追加情報

この問題は、NuGenesis 9.1 の LMS に影響しません。LMS は、安全な LDAP 認証に LDAPS を使用します。

id194682, SDMS, SDMS8, SDMS8NU, SUPISDMS, SUPNG, インテグリティ