Konfigurowanie protokołu LDAP usług AD DS za pośrednictwem protokołu TLS dla usługi Azure NetApp Files

  • Artykuł

Za pomocą protokołu LDAP za pośrednictwem protokołu TLS można zabezpieczyć komunikację między woluminem usługi Azure NetApp Files i serwerem LDAP usługi Active Directory. Można włączyć protokół LDAP za pośrednictwem protokołu TLS dla woluminów NFS, SMB i podwójnych protokołów usługi Azure NetApp Files.

Kwestie wymagające rozważenia

  • Rekordy PTR DNS muszą istnieć dla każdego kontrolera domeny usług AD DS przypisanego do nazwy lokacji usługi AD określonej w połączeniu usługi Active Directory usługi Azure NetApp Files.
  • Rekordy PTR muszą istnieć dla wszystkich kontrolerów domeny w lokacji, aby ldap usług AD DS za pośrednictwem protokołu TLS działał prawidłowo.

Generowanie i eksportowanie certyfikatu głównego urzędu certyfikacji

Jeśli nie masz certyfikatu głównego urzędu certyfikacji, musisz go wygenerować i wyeksportować go do użycia z protokołem LDAP za pośrednictwem uwierzytelniania TLS.

  1. Postępuj zgodnie z instrukcjami Instalowanie urzędu certyfikacji, aby zainstalować i skonfigurować urząd certyfikacji usług AD DS.

  2. Postępuj zgodnie z instrukcjami Wyświetlania certyfikatów za pomocą przystawki MMC, aby użyć przystawki MMC i narzędzia Menedżer certyfikatów.
    Użyj przystawki Menedżer certyfikatów, aby zlokalizować certyfikat główny lub wystawiający dla urządzenia lokalnego. Należy uruchomić przystawkę Zarządzanie certyfikatami za pomocą jednego z następujących ustawień:

    • Klient z systemem Windows, który dołączył do domeny i ma zainstalowany certyfikat główny
    • Inna maszyna w domenie zawierającej certyfikat główny

  3. Wyeksportuj certyfikat głównego urzędu certyfikacji.
    Certyfikaty głównego urzędu certyfikacji można wyeksportować z katalogu Osobiste lub Zaufane główne urzędy certyfikacji, jak pokazano w następujących przykładach:
    screenshot that shows personal certificates
    screenshot that shows trusted root certification authorities

    Upewnij się, że certyfikat jest eksportowany w zakodowanym formacie Base-64 X.509 (. Format CER):

    Certificate Export Wizard

Włączanie protokołu LDAP za pośrednictwem protokołu TLS i przekazywanie certyfikatu głównego urzędu certyfikacji

  1. Przejdź do konta usługi NetApp używanego dla woluminu i wybierz pozycję Połączenia usługi Active Directory. Następnie wybierz pozycję Dołącz , aby utworzyć nowe połączenie usługi AD lub edytuj , aby edytować istniejące połączenie usługi AD.

  2. W wyświetlonym oknie Dołącz do usługi Active Directory lub Edytuj usługę Active Directory zaznacz pole wyboru LDAP za pośrednictwem protokołu TLS, aby włączyć protokół LDAP za pośrednictwem protokołu TLS dla woluminu. Następnie wybierz pozycję Certyfikat głównego urzędu certyfikacji serwera i przekaż wygenerowany certyfikat głównego urzędu certyfikacji do użycia dla protokołu LDAP za pośrednictwem protokołu TLS.

    Screenshot that shows the LDAP over TLS option

    Upewnij się, że nazwa urzędu certyfikacji może zostać rozpoznana przez usługę DNS. Ta nazwa to pole "Wystawione przez" lub "Wystawca" certyfikatu:

    Screenshot that shows certificate information

Jeśli przekazano nieprawidłowy certyfikat i masz istniejące konfiguracje usługi AD, woluminy SMB lub woluminy Protokołu Kerberos, wystąpi błąd podobny do następującego:

Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.

Aby rozwiązać ten problem, przekaż prawidłowy certyfikat głównego urzędu certyfikacji do konta usługi NetApp zgodnie z wymaganiami serwera LDAP usługi Windows Active Directory na potrzeby uwierzytelniania LDAP.

Wyłączanie protokołu LDAP za pośrednictwem protokołu TLS

Wyłączenie protokołu LDAP za pośrednictwem protokołu TLS uniemożliwia szyfrowanie zapytań LDAP w usłudze Active Directory (serwer LDAP). Nie ma żadnych innych środków ostrożności ani wpływu na istniejące woluminy ANF.

  1. Przejdź do konta usługi NetApp używanego dla woluminu i wybierz pozycję Połączenia usługi Active Directory. Następnie wybierz pozycję Edytuj , aby edytować istniejące połączenie usługi AD.

  2. W wyświetlonym oknie Edytowanie usługi Active Directory usuń zaznaczenie pola wyboru LDAP za pośrednictwem protokołu TLS i wybierz pozycję Zapisz , aby wyłączyć protokół LDAP za pośrednictwem protokołu TLS dla woluminu.

Następne kroki