تكوين AD DS LDAP عبر TLS لملفات Azure NetApp

  • مقالة

يمكنك استخدام LDAP عبر TLS لتأمين الاتصال بين وحدة تخزين Azure NetApp Files وخادم Active Directory LDAP. يمكنك تمكين LDAP عبر TLS لوحدات تخزين NFS وSMB والبروتوكول المزدوج لملفات Azure NetApp.

الاعتبارات

  • يجب أن توجد سجلات DNS PTR لكل وحدة تحكم مجال AD DS معينة إلى اسم موقع AD المحدد في اتصال Azure NetApp Files Active Directory.
  • يجب أن تكون سجلات PTR موجودة لجميع وحدات التحكم بالمجال في الموقع لكي يعمل AD DS LDAP عبر TLS بشكل صحيح.

إنشاء شهادة المرجع المصدق الجذر وتصديرها

إذا لم يكن لديك شهادة المرجع المصدق الجذر، تحتاج إلى إنشاء واحدة وتصديرها للاستخدام مع LDAP عبر مصادقة TLS.

  1. اتبع تثبيت المرجع المصدق لتثبيت المرجع المصدق AD DS وتكوينه.

  2. اتبع عرض الشهادات باستخدام الأداة الإضافية MMC لاستخدام الأداة الإضافية MMC وأداة إدارة الشهادات.
    استخدم الأداة الإضافية إدارة الشهادات لتحديد موقع الجذر أو إصدار الشهادة للجهاز المحلي. يجب تشغيل أوامر الأداة الإضافية إدارة الشهادات من أحد الإعدادات التالية:

    • عميل مستند إلى Windows انضم إلى المجال ولديه شهادة الجذر مثبتة
    • جهاز آخر في المجال يحتوي على شهادة الجذر

  3. تصدير شهادة المرجع المصدق الجذر.
    يمكن تصدير شهادات المرجع المصدق الجذر من دليل المراجع المصدقة الجذر الشخصية أو الموثوق بها، كما هو موضح في الأمثلة التالية:
    screenshot that shows personal certificates
    screenshot that shows trusted root certification authorities

    تأكد من تصدير الشهادة في Base-64 المشفرة X.509 (. تنسيق CER:

    Certificate Export Wizard

تمكين LDAP عبر TLS وتحميل شهادة المرجع المصدق الجذر

  1. انتقل إلى حساب NetApp المستخدم لوحدات التخزين، وحدد اتصالات Active Directory. ثم حدد الانضمام لإنشاء اتصال AD جديد أو تحرير لتحرير اتصال AD موجود.

  2. في نافذة الانضمام إلى Active Directory أو Edit Active Directory التي تظهر، حدد خانة الاختيار LDAP عبر TLS لتمكين LDAP عبر TLS لوحدات التخزين. ثم حدد شهادة المرجع المصدق الجذر للخادم وحمل شهادة المرجع المصدق الجذر التي تم إنشاؤها لاستخدامها ل LDAP عبر TLS.

    Screenshot that shows the LDAP over TLS option

    تأكد من أن اسم المرجع المصدق يمكن حله بواسطة DNS. هذا الاسم هو حقل "الصادرة بواسطة" أو "المصدر" في الشهادة:

    Screenshot that shows certificate information

إذا قمت بتحميل شهادة غير صالحة، وكان لديك تكوينات AD أو وحدات تخزين SMB أو وحدات تخزين Kerberos، يحدث خطأ مشابه للخطأ التالي:

Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.

لحل حالة الخطأ، قم بتحميل شهادة CA جذر صالحة إلى حساب NetApp الخاص بك كما هو مطلوب من قبل خادم Windows Active Directory LDAP لمصادقة LDAP.

تعطيل LDAP عبر TLS

يؤدي تعطيل LDAP عبر TLS إلى إيقاف تشفير استعلامات LDAP إلى Active Directory (خادم LDAP). لا توجد احتياطات أو تأثير آخر على وحدات تخزين ANF الحالية.

  1. انتقل إلى حساب NetApp المستخدم لوحدات التخزين وحدد اتصالات Active Directory. ثم حدد تحرير لتحرير اتصال AD الموجود.

  2. في نافذة Edit Active Directory التي تظهر، قم بإلغاء تحديد خانة الاختيار LDAP عبر TLS وحدد Save لتعطيل LDAP عبر TLS لوحدات التخزين.

الخطوات التالية