Compartir a través de


Configuración de LDAP de AD DS sobre TLS para Azure NetApp Files

Puede usar LDAP sobre TLS para proteger la comunicación entre un volumen Azure NetApp Files y el servidor LDAP de Active Directory. Puede habilitar LDAP sobre TLS para volúmenes de protocolo dual, SMB y NFS de Azure NetApp Files.

Consideraciones

  • Los registros PTR de DNS deben existir para cada controlador de dominio de AD DS asignado al nombre de sitio de AD especificado en la conexión de Active Directory de Azure NetApp Files.
  • Los registros PTR deben existir para que todos los controladores de dominio del sitio de LDAP de AD DS a través de TLS funcionen correctamente.

Generación y exportación de certificados de entidad de certificación raíz

Si no tiene un certificado de entidad de certificación raíz, debe generar uno y exportarlo para su uso con la autenticación LDAP sobre TLS.

  1. Siga el recorte de pantalla de la Instalación de la entidad de certificación para instalar y configurar la entidad de certificación de AD DS.

  2. Siga el recorte de pantalla de Ver certificados con el complemento MMC para usar el complemento MMC y la herramienta Administrador de certificados.
    Use el complemento Administrador de certificados para buscar el certificado raíz o emisor del dispositivo local. Debe ejecutar los comandos del complemento Administración de certificados desde una de las siguientes opciones:

    • Un cliente basado en Windows que se haya unido al dominio y tenga instalado el certificado raíz.
    • Otra máquina del dominio que contenga el certificado raíz.
  3. Exporte el certificado de entidad de certificación raíz.
    Los certificados de entidad de certificación raíz se pueden exportar desde el directorio de entidades emisoras de certificados raíz de confianza o personales. En la siguiente imagen se muestra el directorio de entidad de certificación raíz personal:
    Recorte de pantalla que muestra los certificados personales..

    Asegúrese de que el certificado se exporta en el formato X.509 codificado en Base-64 (.CER):

    Recorte de pantalla del Asistente para exportación de certificados.

Habilitación de LDAP sobre TLS y carga del certificado de entidad de certificación raíz

  1. Vaya a la cuenta de NetApp usada para el volumen y seleccione Conexiones de Active Directory. A continuación, seleccione Conectar para crear una nueva conexión de AD o en Editar para editar una conexión de AD existente.

  2. En la ventana Join Active Directory (Conectarse a Active Directory) o Edit Active Directory (Editar Active Directory) que aparece, seleccione la casilla de verificación LDAP over TLS (LDAP sobre TLS) para habilitar LDAP sobre TLS en el volumen. A continuación, seleccione Certificado de entidad de certificación raíz del servidor y cargue el certificado de entidad de certificación raíz generado para usarlo con LDAP sobre TLS.

    Captura de pantalla que muestra la opción LDAP sobre TLS

    Asegúrese de que el nombre de la entidad de certificación pueda resolverse mediante DNS. Este nombre es el campo "Emitido por" o "Emisor" del certificado:

    Captura de pantalla que muestra la información del certificado

Si ha cargado un certificado no válido y tiene configuraciones de AD, volúmenes SMB o volúmenes Kerberos existentes, se produce un error similar al siguiente:

Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.

Para resolver el error, cargue un certificado de entidad de certificación raíz válido en su cuenta de NetApp según lo requiera el servidor LDAP de Windows Active Directory para la autenticación LDAP.

Deshabilitación de LDAP a través de TLS

La deshabilitación de LDAP a través de TLS detiene el cifrado de consultas LDAP a Active Directory (servidor LDAP). No hay ninguna otra precaución o efecto en los volúmenes de ANF existentes.

  1. Vaya a la cuenta de NetApp que se usa para el volumen y seleccione Conexiones de Active Directory. A continuación, seleccione Editar para editar la conexión de AD existente.

  2. En la ventana Editar Active Directory que aparece, desmarque la casilla de verificación LDAP sobre TLS y seleccione Guardar para habilitar LDAP sobre TLS en el volumen.

Pasos siguientes