Configuración de LDAP de AD DS sobre TLS para Azure NetApp Files
Puede usar LDAP sobre TLS para proteger la comunicación entre un volumen Azure NetApp Files y el servidor LDAP de Active Directory. Puede habilitar LDAP sobre TLS para volúmenes de protocolo dual, SMB y NFS de Azure NetApp Files.
Consideraciones
- Los registros PTR de DNS deben existir para cada controlador de dominio de AD DS asignado al nombre de sitio de AD especificado en la conexión de Active Directory de Azure NetApp Files.
- Los registros PTR deben existir para que todos los controladores de dominio del sitio de LDAP de AD DS a través de TLS funcionen correctamente.
Generación y exportación de certificados de entidad de certificación raíz
Si no tiene un certificado de entidad de certificación raíz, debe generar uno y exportarlo para su uso con la autenticación LDAP sobre TLS.
Siga Instalación de la entidad de certificación para instalar y configurar la entidad de certificación de AD DS.
Siga las indicaciones de Ver certificados con el complemento MMC para usar el complemento MMC y la herramienta Administrador de certificados.
Use el complemento Administrador de certificados para buscar el certificado raíz o emisor del dispositivo local. Debe ejecutar los comandos del complemento Administración de certificados desde una de las siguientes opciones:- Un cliente basado en Windows que se haya unido al dominio y tenga instalado el certificado raíz.
- Otra máquina del dominio que contenga el certificado raíz.
Exporte el certificado de entidad de certificación raíz.
Los certificados de entidad de certificación raíz se pueden exportar desde el directorio de entidades emisoras de certificados raíz de confianza o personales, tal y como se muestra en los ejemplos siguientes:
Asegúrese de que el certificado se exporta en el formato X.509 codificado en Base-64 (.CER):
Habilitación de LDAP sobre TLS y carga del certificado de entidad de certificación raíz
Vaya a la cuenta de NetApp usada para el volumen y seleccione Conexiones de Active Directory. A continuación, seleccione Unirse para crear una nueva conexión de AD o Editar para editar una conexión de AD existente.
En la ventana Join Active Directory (Conectarse a Active Directory) o Edit Active Directory (Editar Active Directory) que aparece, seleccione la casilla de verificación LDAP over TLS (LDAP sobre TLS) para habilitar LDAP sobre TLS en el volumen. A continuación, seleccione Certificado de ENTIDAD de certificación raíz del servidor y cargue el certificado de ENTIDAD de certificación raíz generado que se usará para LDAP a través de TLS.
Asegúrese de que el nombre de la entidad de certificación pueda resolverse mediante DNS. Este nombre es el campo "Emitido por" o "Emisor" del certificado:
Si ha cargado un certificado no válido y tiene configuraciones de AD, volúmenes SMB o volúmenes Kerberos existentes, se produce un error similar al siguiente:
Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.
Para resolver el error, cargue un certificado de entidad de certificación raíz válido en su cuenta de NetApp según lo requiera el servidor LDAP de Windows Active Directory para la autenticación LDAP.
Deshabilitación de LDAP a través de TLS
La deshabilitación de LDAP a través de TLS detiene el cifrado de consultas LDAP a Active Directory (servidor LDAP). No hay ninguna otra precaución o efecto en los volúmenes de ANF existentes.
Vaya a la cuenta de NetApp que se usa para el volumen y seleccione Conexiones de Active Directory. A continuación, seleccione Editar para editar la conexión de AD existente.
En la ventana Editar Active Directory que aparece, anule la selección de la casilla LDAP sobre TLS y seleccione Guardar para deshabilitar LDAP a través de TLS para el volumen.