Konfigurera AD DS LDAP över TLS för Azure NetApp Files

  • Artikel

Du kan använda LDAP via TLS för att skydda kommunikationen mellan en Azure NetApp Files-volym och Active Directory LDAP-servern. Du kan aktivera LDAP över TLS för NFS-, SMB- och dual-protocol-volymer för Azure NetApp Files.

Att tänka på

  • DNS PTR-poster måste finnas för varje AD DS-domänkontrollant som tilldelats ad-platsnamnet som anges i Azure NetApp Files Active Directory-anslutningen.
  • PTR-poster måste finnas för alla domänkontrollanter på platsen för att AD DS LDAP över TLS ska fungera korrekt.

Generera och exportera rotcertifikatutfärdarcertifikat

Om du inte har ett rotcertifikatutfärdarcertifikat måste du generera ett certifikat och exportera det för användning med LDAP via TLS-autentisering.

  1. Följ Installera certifikatutfärdare för att installera och konfigurera AD DS-certifikatutfärdare.

  2. Följ Visa certifikat med MMC-snapin-modulen för att använda MMC-snapin-modulen och certificate manager-verktyget.
    Använd snapin-modulen Certifikathanteraren för att hitta roten eller utfärda certifikatet för den lokala enheten. Du bör köra snapin-in-kommandona för certifikathantering från någon av följande inställningar:

    • En Windows-baserad klient som har anslutit till domänen och har rotcertifikatet installerat
    • En annan dator i domänen som innehåller rotcertifikatet

  3. Exportera rotcertifikatutfärdarcertifikatet.
    Rotcertifikatutfärdarcertifikat kan exporteras från katalogen Personliga eller betrodda rotcertifikatutfärdare enligt följande exempel:
    screenshot that shows personal certificates
    screenshot that shows trusted root certification authorities

    Kontrollera att certifikatet exporteras i Base-64-kodade X.509 (. CER)-format:

    Certificate Export Wizard

Aktivera LDAP över TLS och ladda upp rotcertifikatutfärdarcertifikat

  1. Gå till det NetApp-konto som används för volymen och välj Active Directory-anslutningar. Välj sedan Anslut för att skapa en ny AD-anslutning eller Redigera för att redigera en befintlig AD-anslutning.

  2. I fönstret Anslut till Active Directory eller Redigera Active Directory som visas markerar du kryssrutan LDAP över TLS för att aktivera LDAP över TLS för volymen. Välj sedan serverrotcertifikatutfärdarcertifikat och ladda upp det genererade rotcertifikatutfärdarcertifikatet som ska användas för LDAP via TLS.

    Screenshot that shows the LDAP over TLS option

    Kontrollera att certifikatutfärdarnamnet kan matchas av DNS. Det här namnet är fältet "Utfärdat av" eller "Utfärdare" på certifikatet:

    Screenshot that shows certificate information

Om du har laddat upp ett ogiltigt certifikat och du har befintliga AD-konfigurationer, SMB-volymer eller Kerberos-volymer uppstår ett fel som liknar följande:

Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.

Lös felvillkoret genom att ladda upp ett giltigt rotcertifikatutfärdarcertifikat till ditt NetApp-konto som krävs av Windows Active Directory LDAP-servern för LDAP-autentisering.

Inaktivera LDAP över TLS

Om du inaktiverar LDAP över TLS stoppas krypteringen av LDAP-frågor till Active Directory (LDAP-server). Det finns inga andra försiktighetsåtgärder eller påverkan på befintliga ANF-volymer.

  1. Gå till det NetApp-konto som används för volymen och välj Active Directory-anslutningar. Välj sedan Redigera för att redigera den befintliga AD-anslutningen.

  2. I fönstret Redigera Active Directory som visas avmarkerar du kryssrutan LDAP över TLS och väljer Spara för att inaktivera LDAP över TLS för volymen.

Nästa steg