針對 Azure NetApp Files 設定 AD DS LDAP over TLS

  • 發行項

您可以使用LDAP over TLS來保護 Azure NetApp Files 磁碟區和 Active Directory LDAP 伺服器之間的通訊。 您可以針對 Azure NetApp Files 的 NFS、SMB 和雙通訊協定磁碟區啟用 LDAP over TLS。

考量

  • 指派給 Azure NetApp Files Active Directory 連線中指定的 AD Site Name 的每個 AD DS 域控制器都必須有 DNS PTR 記錄。
  • 站臺中的所有域控制器都必須有 PTR 記錄,AD DS LDAP over TLS 才能正常運作。

產生和導出根 CA 憑證

如果您沒有跟證書 CA 憑證,您必須產生一個憑證,並將其匯出以搭配 LDAP over TLS 驗證使用。

  1. 請遵循 安裝證書頒發機構單位 來安裝和設定 AD DS 證書頒發機構單位。

  2. 請遵循 使用 MMC 嵌入式管理單元檢視憑證,以使用 MMC 嵌入式管理單元 和憑證管理員工具。
    使用憑證管理員嵌入式管理單元來尋找本機裝置的跟證書或發行憑證。 您應該從下列其中一個設定執行憑證管理嵌入式管理嵌入式管理單元命令:

    • 已加入網域且已安裝跟證書的 Windows 型用戶端
    • 網域中包含跟證書的另一部計算機

  3. 匯出根 CA 憑證。
    根 CA 憑證可以從個人或受信任的跟證書授權單位目錄匯出,如下列範例所示:
    screenshot that shows personal certificates
    screenshot that shows trusted root certification authorities

    確定憑證是在Base-64編碼 X.509 中匯出的 。CER) 格式:

    Certificate Export Wizard

透過 TLS 啟用 LDAP 並上傳根 CA 憑證

  1. 移至磁碟區所使用的 NetApp 帳戶,然後選取 [Active Directory 連線]。 然後,選取 [ 結] 以建立新的 AD 連線或 [編輯 ] 以編輯現有的 AD 連線。

  2. 在出現的 [加入 Active Directory] 或 [編輯 Active Directory] 視窗中,選取 [LDAP over TLS] 複選框,為磁碟區啟用 LDAP over TLS。 然後選取 [伺服器根 CA 憑證 ], 然後上傳產生的根 CA 憑證 ,以用於透過 TLS 的 LDAP。

    Screenshot that shows the LDAP over TLS option

    請確定 DNS 可以解析證書頒發機構單位名稱。 此名稱是憑證上的 [簽發者] 或 [簽發者] 字段:

    Screenshot that shows certificate information

如果您上傳了無效的憑證,而且您現有的 AD 設定、SMB 磁碟區或 Kerberos 磁碟區,則會發生類似下列的錯誤:

Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.

若要解決錯誤狀況,請視 Windows Active Directory LDAP 伺服器的要求,將有效的根 CA 憑證上傳至 NetApp 帳戶以進行 LDAP 驗證。

停用透過 TLS 的 LDAP

停用LDAP over TLS會停止將LDAP查詢加密至Active Directory(LDAP 伺服器)。 現有的 ANF 磁碟區沒有任何其他預防措施或影響。

  1. 移至用於磁碟區的 NetApp 帳戶,然後選取 [Active Directory 連線]。 然後選取 [ 編輯 ] 以編輯現有的 AD 連線。

  2. 在出現的 [ 編輯 Active Directory ] 視窗中,取消選取 [LDAP over TLS ] 複選框,然後選取 [ 儲存 ] 以停用磁碟區的 LDAP over TLS。

下一步