Azure NetApp Files용 TLS를 통한 AD DS LDAP 구성
LDAP over TLS를 사용하여 Azure NetApp Files 볼륨과 Active Directory LDAP 서버 간의 통신을 보호할 수 있습니다. Azure NetApp Files의 NFS, SMB 및 이중 프로토콜 볼륨에 LDAP over TLS를 사용할 수 있습니다.
고려 사항
- DNS PTR 레코드는 Azure NetApp Files Active Directory 연결에서 지정된 AD 사이트 이름에 할당된 각 AD DS 도메인 컨트롤러에 대해 존재해야 합니다.
- TLS를 통해 AD DS LDAP가 제대로 작동하려면 사이트의 모든 도메인 컨트롤러에 대해 PTR 레코드가 있어야 합니다.
루트 CA 인증서 생성 및 내보내기
루트 CA 인증서가 없는 경우 하나 생성하고 LDAP over TLS 인증에 사용할 수 있게 내보내야 합니다.
ADDS 인증 기관을 설치하고 구성하려면 인증 기관 설치를 따릅니다.
MMC 스냅인과 인증서 관리자 도구를 사용하려면 MMC 스냅인으로 인증서 보기를 따릅니다.
인증서 관리자 스냅인을 사용하여 로컬 디바이스의 루트 또는 발급 인증서를 찾습니다. 다음 설정 중 하나에서 인증서 관리 스냅인 명령을 실행해야 합니다.- 도메인에 가입하고 루트 인증서가 설치된 Windows 기반 클라이언트
- 루트 인증서를 포함하는 도메인의 다른 컴퓨터
루트 CA 인증서를 내보냅니다.
루트 CA 인증서는 다음 예와 같이 개인 또는 신뢰할 수 있는 루트 인증 기관 디렉터리에서 내보낼 수 있습니다.
인증서가 Base-64로 인코딩된 X.509(.CER) 형식으로 내보내졌는지 확인합니다.
LDAP over TLS 사용 및 루트 CA 인증서 업로드
볼륨에 사용되는 NetApp 계정으로 이동하고 Active Directory 연결을 선택합니다. 그런 다음, 조인을 선택하여 새 AD 연결을 만들거나 편집을 클릭하여 기존 AD 연결을 편집합니다.
Active Directory 조인 또는 Edit Active Directory(Active Directory 편집) 창이 나타나면 LDAP over TLS(TLS를 통한 LDAP) 확인란을 선택하여 볼륨에 LDAP over TLS를 사용하도록 설정합니다. 그런 다음, Server root CA Certificate(서버 루트 CA 인증서)를 선택하고 LDAP over TLS에 사용할 생성된 루트 CA 인증서를 업로드합니다.
DNS에서 인증 기관 이름을 확인할 수 있는지 확인합니다. 이 이름은 인증서의 "발급자" 필드입니다.
잘못된 인증서를 업로드했고 기존 AD 구성, SMB 볼륨 또는 Kerberos 볼륨이 있는 경우 다음과 유사한 오류가 발생합니다.
Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.
오류 조건을 확인하려면 LDAP 인증을 위해 Windows Active Directory LDAP 서버에서 요구하는 대로 유효한 루트 CA 인증서를 NetApp 계정에 업로드합니다.
TLS를 통한 LDAP 비활성화
TLS를 통해 LDAP를 사용하지 않도록 설정하면 LDAP 쿼리를 Active Directory(LDAP 서버)로 암호화할 수 없습니다. 기존 ANF 볼륨에는 다른 예방 조치나 영향이 없습니다.
볼륨에 사용되는 NetApp 계정으로 이동하고 Active Directory 연결을 선택합니다. 그런 다음 편집을 선택하여 기존 AD 연결을 편집합니다.
Active Directory 편집 창이 나타나면 TLS를 통한 LDAP 확인란을 선택 해제하고 저장을 선택하여 볼륨에 대해 TLS를 통한 LDAP를 사용하지 않도록 설정합니다.