Udostępnij za pośrednictwem

Konfigurowanie protokołu LDAP usług AD DS za pośrednictwem protokołu TLS dla usługi Azure NetApp Files

  • Artykuł

Za pomocą protokołu LDAP za pośrednictwem protokołu TLS można zabezpieczyć komunikację między woluminem usługi Azure NetApp Files i serwerem LDAP usługi Active Directory. Można włączyć protokół LDAP za pośrednictwem protokołu TLS dla woluminów NFS, SMB i podwójnych protokołów usługi Azure NetApp Files.

Kwestie wymagające rozważenia

  • Rekordy PTR DNS muszą istnieć dla każdego kontrolera domeny usług AD DS przypisanego do nazwy lokacji usługi AD określonej w połączeniu usługi Active Directory usługi Azure NetApp Files.
  • Rekordy PTR muszą istnieć dla wszystkich kontrolerów domeny w lokacji, aby ldap usług AD DS za pośrednictwem protokołu TLS działał prawidłowo.

Generowanie i eksportowanie certyfikatu głównego urzędu certyfikacji

Jeśli nie masz certyfikatu głównego urzędu certyfikacji, musisz go wygenerować i wyeksportować go do użycia z protokołem LDAP za pośrednictwem uwierzytelniania TLS.

  1. Wykonaj zrzut ekranu przedstawiający urząd certyfikacji. Aby zainstalować i skonfigurować urząd certyfikacji usług AD DS.

  2. Wykonaj zrzut ekranu przedstawiający certyfikaty widoku z przystawką MMC. Aby użyć przystawki MMC i narzędzia Menedżer certyfikatów.
    Użyj przystawki Menedżer certyfikatów, aby zlokalizować certyfikat główny lub wystawiający dla urządzenia lokalnego. Należy uruchomić przystawkę Zarządzanie certyfikatami za pomocą jednego z następujących ustawień:

    • Klient z systemem Windows, który dołączył do domeny i ma zainstalowany certyfikat główny
    • Inna maszyna w domenie zawierającej certyfikat główny

  3. Wyeksportuj certyfikat głównego urzędu certyfikacji.
    Certyfikaty głównego urzędu certyfikacji można wyeksportować z katalogu Osobiste lub Zaufane główne urzędy certyfikacji. Na poniższej ilustracji przedstawiono katalog Osobisty główny urząd certyfikacji:
    Zrzut ekranu przedstawiający certyfikaty osobiste..

    Upewnij się, że certyfikat jest eksportowany w zakodowanym formacie Base-64 X.509 (. Format CER):

    Zrzut ekranu kreatora eksportu certyfikatów.

Włączanie protokołu LDAP za pośrednictwem protokołu TLS i przekazywanie certyfikatu głównego urzędu certyfikacji

  1. Przejdź do konta usługi NetApp używanego dla woluminu i wybierz pozycję Połączenia usługi Active Directory. Następnie wybierz pozycję Dołącz , aby utworzyć nowe połączenie usługi AD lub edytuj , aby edytować istniejące połączenie usługi AD.

  2. W wyświetlonym oknie Dołącz do usługi Active Directory lub Edytuj usługę Active Directory zaznacz pole wyboru LDAP za pośrednictwem protokołu TLS, aby włączyć protokół LDAP za pośrednictwem protokołu TLS dla woluminu. Następnie wybierz pozycję Certyfikat głównego urzędu certyfikacji serwera i przekaż wygenerowany certyfikat głównego urzędu certyfikacji do użycia dla protokołu LDAP za pośrednictwem protokołu TLS.

    Zrzut ekranu przedstawiający opcję LDAP za pośrednictwem protokołu TLS

    Upewnij się, że nazwa urzędu certyfikacji może zostać rozpoznana przez usługę DNS. Ta nazwa to pole "Wystawione przez" lub "Wystawca" certyfikatu:

    Zrzut ekranu przedstawiający informacje o certyfikacie

Jeśli przekazano nieprawidłowy certyfikat i masz istniejące konfiguracje usługi AD, woluminy SMB lub woluminy Protokołu Kerberos, wystąpi błąd podobny do następującego:

Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.

Aby rozwiązać ten problem, przekaż prawidłowy certyfikat głównego urzędu certyfikacji do konta usługi NetApp zgodnie z wymaganiami serwera LDAP usługi Windows Active Directory na potrzeby uwierzytelniania LDAP.

Wyłączanie protokołu LDAP za pośrednictwem protokołu TLS

Wyłączenie protokołu LDAP za pośrednictwem protokołu TLS uniemożliwia szyfrowanie zapytań LDAP w usłudze Active Directory (serwer LDAP). Nie ma żadnych innych środków ostrożności ani wpływu na istniejące woluminy ANF.

  1. Przejdź do konta usługi NetApp używanego dla woluminu i wybierz pozycję Połączenia usługi Active Directory. Następnie wybierz pozycję Edytuj , aby edytować istniejące połączenie usługi AD.

  2. W wyświetlonym oknie Edytowanie usługi Active Directory usuń zaznaczenie pola wyboru LDAP za pośrednictwem protokołu TLS i wybierz pozycję Zapisz , aby wyłączyć protokół LDAP za pośrednictwem protokołu TLS dla woluminu.

Następne kroki