Configurar o LDAP do AD DS por TLS para o Azure NetApp Files
Você pode usar o LDAP por TLS para proteger a comunicação entre um volume do Azure NetApp Files e o servidor LDAP do Active Directory. Você pode habilitar o LDAP por TLS para volumes NFS, SMB e de protocolo duplo do Azure NetApp Files.
Considerações
- Os registros PTR DNS devem existir para cada controlador de domínio do AD DS atribuído ao Nome do Site do AD especificado na conexão do Active Directory do Azure NetApp Files.
- Os registros PTR devem existir para todos os controladores de domínio no site para que o AD DS LDAP sobre TLS funcione corretamente.
Gerar e exportar o Certificado de Autoridade de Certificação raiz
Se você não tem um Certificado de Autoridade de Certificação raiz, gere um e exporte-o para que seja usado com a autenticação LDAP por TLS.
Siga Instalar a Autoridade de Certificação para instalar e configurar a Autoridade de Certificação do AD DS.
Siga Exibir certificados com o snap-in do MMC para usar o snap-in do MMC e a ferramenta Gerenciador de Certificados.
Use o snap-in do Gerenciador de Certificados para localizar a raiz ou emitir o certificado para o dispositivo local. Você deve executar os comandos do snap-in do Gerenciamento de Certificados em uma das seguintes configurações:- Um cliente baseado no Windows que ingressou no domínio e tem o certificado raiz instalado
- Outro computador no domínio que contém o certificado raiz
Exporte o Certificado de Autoridade de Certificação raiz.
Os certificados de AC raiz podem ser exportados do diretório Pessoal ou de Autoridades de Certificação Raiz Confiáveis, conforme é mostrado nos seguintes exemplos:
Verifique se o certificado é exportado no formato X.509 codificado em Base 64 (.CER):
Habilitar o LDAP por TLS e carregar o Certificado de Autoridade de Certificação raiz
Vá para a conta NetApp usada para o volume e selecione Conexões do Active Directory. Em seguida, selecione Ingressar para criar uma nova conexão do AD ou Editar para editar uma conexão do AD existente.
Na janela Ingressar no Active Directory ou Editar o Active Directory que aparece, marque a caixa de seleção LDAP por TLS para habilitar o LDAP por TLS para o volume. Em seguida, selecione Certificado de CA raiz do servidor e carregue o certificado de autoridade de certificação raiz gerado para usar para LDAP sobre TLS.
Verifique se o nome da autoridade de certificação pode ser resolvido pelo DNS. Esse nome é o campo "Emitido por" ou "Emissor" no certificado:
Se você carregou um certificado inválido e tem configurações existentes do AD, volumes SMB ou volumes Kerberos, um erro semelhante ao seguinte ocorrerá:
Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.
Para resolver a condição de erro, carregue um Certificado de Autoridade de Certificação raiz válido na conta do NetApp, conforme exigido pelo servidor LDAP do Windows Active Directory para autenticação LDAP.
Desabilitar LDAP sobre TLS
Desabilitar o LDAP sobre TLS interrompe a criptografia de consultas LDAP para Active Directory (servidor LDAP). Não há nenhuma outra precauções ou impacto sobre os volumes seja existentes.
Vá para a conta NetApp usada para o volume e selecione Conexões do Active Directory. Em seguida, selecione Editar para editar a conexão existente do AD.
Na janela Editar Active Directory exibida, desmarque a caixa de seleção LDAP sobre TLS e selecione Salvar para desabilitar o LDAP sobre TLS para o volume.