Konfigurace protokolu LDAP AD DS přes TLS pro Azure NetApp Files

Protokol LDAP přes PROTOKOL TLS můžete použít k zabezpečení komunikace mezi svazkem Azure NetApp Files a serverem LDAP služby Active Directory. Protokol LDAP můžete povolit přes protokol TLS pro svazky NFS, SMB a duální protokoly služby Azure NetApp Files.

Důležité informace

  • Záznamy DNS PTR musí existovat pro každý řadič domény SLUŽBY AD DS přiřazený k názvu lokality AD zadanému v připojení Active Directory služby Azure NetApp Files.
  • Záznamy PTR musí existovat pro všechny řadiče domény v lokalitě pro službu AD DS LDAP přes protokol TLS, aby fungovaly správně.

Generování a export kořenového certifikátu certifikační autority

Pokud nemáte kořenový certifikát certifikační autority, musíte ho vygenerovat a exportovat pro použití s protokolem LDAP přes ověřování TLS.

  1. Podle pokynů nainstalujte a nakonfigurujte certifikační autoritu služby AD DS.

  2. Pokud chcete použít modul snap-in konzoly MMC a nástroj Správce certifikátů, postupujte podle pokynů k zobrazení certifikátů pomocí modulu snap-in konzoly MMC.
    Pomocí modulu snap-in Správce certifikátů vyhledejte kořenový nebo vydávající certifikát pro místní zařízení. Příkazy modulu snap-in Správa certifikátů byste měli spustit z jednoho z následujících nastavení:

    • Klient se systémem Windows, který se připojil k doméně a má nainstalovaný kořenový certifikát.
    • Jiný počítač v doméně obsahující kořenový certifikát
  3. Exportujte kořenový certifikát certifikační autority.
    Certifikáty kořenové certifikační autority je možné exportovat z adresáře osobních nebo důvěryhodných kořenových certifikačních autorit, jak je znázorněno v následujících příkladech:
    screenshot that shows personal certificates
    screenshot that shows trusted root certification authorities

    Ujistěte se, že je certifikát exportován v X.509 s kódováním Base-64 (. Formát CER:

    Certificate Export Wizard

Povolení protokolu LDAP přes protokol TLS a nahrání kořenového certifikátu certifikační autority

  1. Přejděte na účet NetApp, který se používá pro svazek, a vyberte připojení služby Active Directory. Potom výběrem možnosti Připojit vytvořte nové připojení AD nebo upravte existující připojení AD.

  2. V okně Připojit ke službě Active Directory nebo Upravit službu Active Directory , které se zobrazí, zaškrtněte políčko LDAP přes PROTOKOL TLS a povolte pro svazek protokol LDAP přes PROTOKOL TLS. Pak vyberte Certifikát kořenové certifikační autority serveru a nahrajte vygenerovaný kořenový certifikát certifikační autority, který se má použít pro protokol LDAP přes PROTOKOL TLS.

    Screenshot that shows the LDAP over TLS option

    Ujistěte se, že dns dokáže přeložit název certifikační autority. Tento název je pole Vystaveno nebo Vystavitel v certifikátu:

    Screenshot that shows certificate information

Pokud jste nahráli neplatný certifikát a máte existující konfigurace AD, svazky SMB nebo svazky Kerberos, dojde k chybě podobné následující:

Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.

Pokud chcete tento chybový stav vyřešit, nahrajte do účtu NetApp platný kořenový certifikát certifikační autority, který vyžaduje server LDAP služby Windows Active Directory pro ověřování LDAP.

Zakázání protokolu LDAP přes protokol TLS

Zakázání protokolu LDAP přes protokol TLS zastaví šifrování dotazů LDAP na active Directory (server LDAP). Neexistují žádná další opatření ani vliv na stávající svazky ANF.

  1. Přejděte na účet NetApp, který se používá pro svazek, a vyberte připojení služby Active Directory. Potom vyberte Upravit a upravte stávající připojení AD.

  2. V okně Upravit službu Active Directory , které se zobrazí, zrušte zaškrtnutí políčka LDAP přes protokol TLS a výběrem možnosti Uložit zakažte protokol LDAP přes PROTOKOL TLS pro svazek.

Další kroky