Konfigurera AD DS LDAP över TLS för Azure NetApp Files
Du kan använda LDAP via TLS för att skydda kommunikationen mellan en Azure NetApp Files-volym och Active Directory LDAP-servern. Du kan aktivera LDAP över TLS för NFS-, SMB- och dual-protocol-volymer för Azure NetApp Files.
Att tänka på
- DNS PTR-poster måste finnas för varje AD DS-domänkontrollant som tilldelats ad-platsnamnet som anges i Azure NetApp Files Active Directory-anslutningen.
- PTR-poster måste finnas för alla domänkontrollanter på platsen för att AD DS LDAP över TLS ska fungera korrekt.
Generera och exportera rotcertifikatutfärdarcertifikat
Om du inte har ett rotcertifikatutfärdarcertifikat måste du generera ett certifikat och exportera det för användning med LDAP via TLS-autentisering.
Följ skärmbilden av certifikatutfärdare för att installera och konfigurera AD DS-certifikatutfärdare.
Följ Skärmbild av visningscertifikaten med MMC-snapin-modulen. Använd MMC-snapin-modulen och certifikathanteraren.
Använd snapin-modulen Certifikathanteraren för att hitta roten eller utfärda certifikatet för den lokala enheten. Du bör köra snapin-in-kommandona för certifikathantering från någon av följande inställningar:- En Windows-baserad klient som har anslutit till domänen och har rotcertifikatet installerat
- En annan dator i domänen som innehåller rotcertifikatet
Exportera rotcertifikatutfärdarcertifikatet.
Rotcertifikatutfärdarcertifikat kan exporteras från katalogen Personliga eller betrodda rotcertifikatutfärdare. Följande bild visar katalogen Personlig rotcertifikatutfärdare:
.Kontrollera att certifikatet exporteras i Base-64-kodade X.509 (. CER)-format:
Aktivera LDAP över TLS och ladda upp rotcertifikatutfärdarcertifikat
Gå till det NetApp-konto som används för volymen och välj Active Directory-anslutningar. Välj sedan Anslut för att skapa en ny AD-anslutning eller Redigera för att redigera en befintlig AD-anslutning.
I fönstret Anslut till Active Directory eller Redigera Active Directory som visas markerar du kryssrutan LDAP över TLS för att aktivera LDAP över TLS för volymen. Välj sedan serverrotcertifikatutfärdarcertifikat och ladda upp det genererade rotcertifikatutfärdarcertifikatet som ska användas för LDAP via TLS.
Kontrollera att certifikatutfärdarnamnet kan matchas av DNS. Det här namnet är fältet "Utfärdat av" eller "Utfärdare" på certifikatet:
Om du har laddat upp ett ogiltigt certifikat och du har befintliga AD-konfigurationer, SMB-volymer eller Kerberos-volymer uppstår ett fel som liknar följande:
Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.
Lös felvillkoret genom att ladda upp ett giltigt rotcertifikatutfärdarcertifikat till ditt NetApp-konto som krävs av Windows Active Directory LDAP-servern för LDAP-autentisering.
Inaktivera LDAP över TLS
Om du inaktiverar LDAP över TLS stoppas krypteringen av LDAP-frågor till Active Directory (LDAP-server). Det finns inga andra försiktighetsåtgärder eller påverkan på befintliga ANF-volymer.
Gå till det NetApp-konto som används för volymen och välj Active Directory-anslutningar. Välj sedan Redigera för att redigera den befintliga AD-anslutningen.
I fönstret Redigera Active Directory som visas avmarkerar du kryssrutan LDAP över TLS och väljer Spara för att inaktivera LDAP över TLS för volymen.