Konfigurieren von AD DS LDAP über TLS für Azure NetApp Files
Sie können LDAP über TLS verwenden, um die Kommunikation zwischen einem Azure NetApp Files und dem Active Directory LDAP-Server zu schützen. Sie können LDAP über TLS für NFS-, SMB- und Dualprotokollvolumes von Azure NetApp Files aktivieren.
Überlegungen
- DNS-PTR-Einträge müssen für jede AD DS-Aufgabe vorhanden sein Standard Controller, der dem in der Azure NetApp Files Active Directory-Verbindung angegebenen AD-Standortnamen zugewiesen ist.
- PTR-Einträge müssen für alle do Standard-Controller am Standort vorhanden sein, damit AD DS LDAP über TLS ordnungsgemäß funktioniert.
Generieren und Exportieren des Zertifikats der Stammzertifizierungsstelle
Wenn Sie kein Zertifikat der Stammzertifizierungsstelle haben, müssen Sie ein Zertifikat generieren und für die Verwendung mit LDAP über die TLS-Authentifizierung exportieren.
Folgen Sie der Installation der Zertifizierungsstelle , um die AD DS-Zertifizierungsstelle zu installieren und zu konfigurieren.
Führen Sie die unter Anzeigen von Zertifikaten mit dem MMC-Snap-In angegebenen Schritte aus, um das MMC-Snap-In und das Tool „Zertifikat-Manager“ zu verwenden.
Verwenden Sie das Snap-In „Zertifikat-Manager“, um das Stamm- oder Ausstellerzertifikat für das lokale Gerät zu suchen. Sie sollten die Befehle des Snap-Ins „Zertifikatverwaltung“ über eine der folgenden Einstellungen ausführen:- Windows-basierter Client, der der Domäne hinzugefügt wurde und auf dem das Stammzertifikat installiert ist
- Anderer Computer in der Domäne mit dem Stammzertifikat
Exportieren Sie das Zertifikat der Stammzertifizierungsstelle.
Zertifikate der Stammzertifizierungsstelle können aus den Verzeichnissen „Persönlich“ oder „Vertrauenswürdige Stammzertifizierungsstellen“ exportiert werden, wie in den folgenden Beispielen gezeigt:
Achten Sie darauf, dass das Zertifikat im Base64-codierten X.509-Format (.CER) exportiert wird:
Aktivieren von LDAP über TLS und Hochladen des Zertifikats der Stammzertifizierungsstelle
Wechseln Sie zum NetApp-Konto, das für das Volume verwendet wird, und wählen Sie Active Directory-Verbindungen aus. Wählen Sie dann "Verknüpfen" aus, um eine neue AD-Verbindung zu erstellen oder bearbeiten , um eine vorhandene AD-Verbindung zu bearbeiten.
Aktivieren Sie im angezeigten Fenster Active Directory beitreten oder Active Directory bearbeiten das Kontrollkästchen LDAP über TLS, um LDAP über TLS für das Volume zu aktivieren. Wählen Sie dann das Zertifikat der Serverstammzertifizierungsstelle aus, und laden Sie das generierte Stammzertifizierungsstellenzertifikat hoch, das für LDAP über TLS verwendet werden soll.
Stellen Sie sicher, dass der Name der Zertifizierungsstelle durch DNS aufgelöst werden kann. Dieser Name ist das Feld „Ausgestellt von“ oder „Aussteller“ im Zertifikat:
Wenn Sie ein ungültiges Zertifikat hochgeladen haben und über vorhandene AD-Konfigurationen, SMB-Volumes oder Kerberos-Volumes verfügen, tritt ein Fehler ähnlich dem folgenden auf:
Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.
Um die Fehlerbedingung zu beheben, laden Sie ein gültiges Zertifikat der Stammzertifizierungsstelle in Ihr NetApp-Konto hoch, wie vom Windows Active Directory LDAP-Server für die LDAP-Authentifizierung erforderlich.
Deaktivieren Sie LDAP über TLS
Das Deaktivieren von LDAP über TLS stoppt die Verschlüsselung von LDAP-Abfragen an Active Directory (LDAP-Server). Es gibt keine weiteren Vorsichtsmaßnahmen oder Auswirkungen auf vorhandene ANF-Volumes.
Wechseln Sie zum NetApp-Konto, das für das Volume verwendet wird, und wählen Sie Active Directory-Verbindungen aus. Wählen Sie dann "Bearbeiten" aus, um die vorhandene AD-Verbindung zu bearbeiten.
Deaktivieren Sie im nun angezeigten Fenster "Active Directory bearbeiten" das LDAP-Kontrollkästchen über TLS , und aktivieren Sie " Speichern ", um LDAP für das Volume zu deaktivieren.