您可以透過 TLS 使用輕量型目錄存取通訊協定(LDAP)來保護 Azure NetApp Files 磁碟區和 Active Directory LDAP 伺服器之間的通訊。 您可以為 Azure NetApp Files 的 NFS、SMB 和雙重通訊協定磁碟區啟用 LDAP over TLS。
考量
- 指派給 Azure NetApp Files Active Directory 連線中指定的 AD Site Name 的每個 AD DS 域控制器都必須有 DNS 指標 (PTR) 記錄。
- 網站中所有的網域控制站都必須有 PTR 記錄,AD DS LDAP over TLS 才能正常運作。
- 在到期日前續期 Active Directory 憑證以繼續存取。
產生和匯出根 CA 憑證
如果您沒有根 CA 憑證,您必須產生一個憑證,並將其匯出以搭配 LDAP over TLS 驗證使用。
使用 Microsoft Management Console (MMC) 嵌入式管理單元檢視憑證。 使用憑證管理員嵌入式管理單元,找出本機裝置的根憑證或發行憑證。 您應從下列其中一個設定執行憑證管理嵌入式管理單元命令:
- 已加入網域且已安裝根憑證的 Windows 型用戶端
- 網域中包含根憑證的另一個機器
匯出根 CA 憑證。
根 CA 憑證可以從「個人」或「信任的根憑證授權單位」目錄匯出。 下圖顯示了 [個人根憑證授權單位] 目錄:
.請確定憑證以 Base-64 編碼 X.509 (.CER) 格式匯出:
![[憑證匯出精靈] 的螢幕擷取畫面。](media/configure-ldap-over-tls/certificate-export-wizard.png)
啟用 LDAP over TLS 並上傳根 CA 憑證
前往用於磁碟區的 NetApp 帳戶,然後選取 [Active Directory 連線]。
選取 [聯結 ] 以建立新的 AD 連線或 [編輯 ] 以編輯現有的 AD 連線。
在出現的 [加入 Active Directory] 或 [編輯 Active Directory] 視窗中,選取 [LDAP over TLS] 核取方塊,為磁碟區啟用 LDAP over TLS。 然後,選取 [伺服器根 CA 憑證],然後上傳 [產生的根 CA 憑證],以用於 LDAP over TLS。
請確定 DNS 可以解析憑證授權單位名稱。 此名稱是憑證上的 [發行者] 或 [簽發者] 欄位:
如果您上傳了無效的憑證,而且您現有的 AD 設定、SMB 磁碟區或 Kerberos 磁碟區,則會發生類似下列的錯誤:
Unable to validate the LDAP client configuration from LDAP server, please check connectivity or LDAP settings under AD connection.若要解決錯誤狀況,請將有效的根 CA 憑證上傳至您的 NetApp 帳戶,以滿足 Windows Active Directory LDAP 伺服器對 LDAP 驗證的需求。
停用 LDAP over TLS
透過 TLS 停用 LDAP 會停止對 Active Directory (LDAP 伺服器) 的加密 LDAP 查詢。 現有的 Azure NetApp Files 磁碟區沒有任何其他預防措施或影響。
前往用於磁碟區的 NetApp 帳戶,然後選取 [Active Directory 連線]。
選取 [編輯 ] 以編輯現有的 AD 連線。
在顯示的 [ 編輯 Active Directory ] 視窗中,取消勾選 [ LDAP over TLS ] 複選框,然後選取 [ 儲存 ] 以針對該磁碟區停用 LDAP over TLS。