Azure NetApp Files 用に AD DS LDAP over TLS を構成する
LDAP over TLS を使用すれば、Azure NetApp Files ボリュームと Active Directory LDAP サーバーの間の通信をセキュリティで保護できます。 Azure NetApp Files の NFS、SMB、およびデュアルプロトコルのボリュームに対して LDAP over TLS を有効にすることができます。
考慮事項
- DNS PTR レコードは、Azure NetApp Files Active Directory 接続で指定された AD サイト名に割り当てられた AD DS ドメイン コントローラーごとに存在する必要があります。
- AD DS LDAP over TLS が正常に機能するためには、サイト内のすべてのドメイン コントローラーに PTR レコードが存在する必要があります。
ルート CA 証明書を生成してエクスポートする
ルート CA 証明書をお持ちではない場合は、それを生成し、LDAP over TLS 認証で使用するようにエクスポートする必要があります。
「証明機関をインストールする」に従って、AD DS 証明機関をインストールして構成してください。
「MMC スナップインを使用して証明書を参照する」に従って、MMC スナップインと証明書マネージャー ツールを使用します。
証明書マネージャー スナップインを使用して、ローカル デバイスのルートまたは発行元の証明書を検索します。 証明書管理スナップイン コマンドは、次のいずれかの設定から実行する必要があります。- ドメインに参加し、ルート証明書がインストールされている Windows ベースのクライアント
- ルート証明書を含むドメイン内の別のマシン
ルート CA 証明書をエクスポートします。
次の例に示すように、ルート CA 証明書は、[個人用] または [信頼されたルート証明機関] ディレクトリからエクスポートできます。
証明書が Base 64 encoded x.509 (.CER) 形式でエクスポートされていることを確認します。
LDAP over TLS を有効にし、ルート CA 証明書をアップロードする
ボリュームに使用される NetApp アカウントに移動し、[Active Directory 接続] を選択してください。 次に、[参加] を選択して新しい AD 接続を作成するか、[編集] をクリックして既存の AD 接続を編集してください。
[Active Directory に参加します] ウィンドウまたは [Active Directory の編集] ウィンドウが表示されたら、[LDAP over TLS] チェックボックスを選択して、ボリュームに対して LDAP over TLS を有効にします。 次に、[サーバー ルート CA 証明書] を選択し、LDAP over TLS に使用する生成されたルート CA 証明書をアップロードしてください。
証明機関名が DNS で解決できることを確認します。 この名前は、証明書の [発行元] または [発行者] フィールドです。
無効な証明書をアップロードした場合、既存の AD 構成、SMB ボリューム、または Kerberos ボリュームがあると、次のエラーが発生します。
Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.
エラー状態を解決するには、LDAP 認証用の Windows Active Directory LDAP サーバーからの要求に応じて、NetApp アカウントに有効なルート CA 証明書をアップロードします。
LDAP over TLS を無効にする
LDAP over TLS を無効にすると、Active Directory (LDAP サーバー) に対する LDAP クエリの暗号化が停止します。 既存の ANF ボリュームに対するその他の予防措置や影響はありません。
ボリュームに使用される NetApp アカウントに移動し、[Active Directory 接続] を選択してください。 次に、既存の AD 接続を編集するために [編集] を選択してください。
[Active Directory の編集] ウィンドウが表示されたら、[LDAP over TLS] チェックボックスを選択解除して、[保存] を選択して、ボリュームに対して LDAP over TLS を無効にしてください。