赛捷软件论坛's Archiver

lynn.yu 发表于 2020-8-10 17:03

[KB 103232功能解说] 警告:警惕即将到来的微软LDAP安全更新(2020年3月)

[b]* 本文由赛捷软件(上海)有限公司翻译完成,未经授权不得转载。如需转载,请先联系相应版块的版主取得授权。[/b]


[b]产品[/b]
Sage X3 V12
Sage X3 V11
Sage X3 PU9
Sage X3 PU8
Sage X3 V7
Sage X3 V6


[b]国家[/b]
英国和爱尔兰


[b]类别[/b]
安全
设置与偏好


[b]描述[/b]
配置为通过LDAPS连接到活动目录进行用户认证或同步的X3环境仍将正常运作。

然而,一旦安全更新生效之后,配置为通过简单的LDAP绑定连接到活动目录的X3环境将遇到以下报错:

“连接错误:StrongAuthRequiredError: 00002028: LdapErr: DSID-0C090200,注释:如果SSL/TLS还没有在连接上激活,服务器需要绑定才能开启完整性检查,数据0,v3839”


[b]原因[/b]
微软计划在2020年3月推出的Windows安全更新将启用LDAP通道绑定和活动目录的LDAP签名硬化。

有关此次更新的更多信息,请参见下面的微软官方公告链接:
[url]https://support.microsoft.com/en-ca/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows[/url]


[b]解决方法[/b]
对于受支持的X3版本(PU9、V11、V12),更新X3配置以使用LDAPS而不是LDAP,从而避免如下所述的这个错误:
•        获取活动目录CA证书
•        例如,从担任ADCS角色的主机上打开微软管理控制台(mmc)中的 "证书 "快照,然后从本地计算机的个人/证书中导出AD CA证书。
•        证书必须是64进制格式,且不包含私钥。
•        在X3中,前往功能:管理→管理→证书→认证授权证书
•        选择“操作按钮>新建CA证书”
•        录入一个【名称】和【描述】,并上传之前导出的CA证书
•        选择“操作按钮>保存”
•        前往功能:管理→管理→身份验证→LDAP服务器
•        点击链接进行编辑
•        选择“操作按钮>编辑”
•        在URL中设置正确的协议(LDAPS)和端口(636或3269)。
•        点击“针对TLS的LDAP服务器的CA证书”字段下的窥镜图标
•        选择之前创建的CA证书,接着点击OK
•        选择“操作按钮>保存”
•        选择“操作按钮>连接测试”,应当得到“连接OK”的结果

对于不收支持的具有 LDAPS功能的X3版本(在V7P11和U9之间),我们建议建立一个测试环境来检查X3和微软公告中描述的新安全参数的兼容性。

而V7 P11之前的X3版本不支持LDAPS。在这种情况下,确保X3与活动目录连接的唯一方法是将微软公告中描述的新安全参数配置回以前的值。

但是,不建议这样做,相反我们鼓励你升级到最新的X3版本。

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.