Configurare LDAP di Active Directory Domain Services tramite TLS per Azure NetApp Files

  • Articolo

È possibile usare LDAP tramite TLS per proteggere la comunicazione tra un volume di Azure NetApp Files e il server LDAP di Active Directory. È possibile abilitare LDAP su TLS per volumi NFS, SMB e dual protocol di Azure NetApp Files.

Considerazioni

  • I record PTR DNS devono esistere per ogni controller di dominio di Active Directory Domain Services assegnato al nome del sito di Active Directory specificato nella connessione active Directory di Azure NetApp Files.
  • I record PTR devono esistere per tutti i controller di dominio nel sito affinché LDAP di Active Directory Domain Services tramite TLS funzioni correttamente.

Generare ed esportare il certificato CA radice

Se non si dispone di un certificato CA radice, è necessario generarne uno ed esportarlo per l'uso con LDAP tramite l'autenticazione TLS.

  1. Seguire Installare l'autorità di certificazione per installare e configurare l'autorità di certificazione di Active Directory Domain Services.

  2. Seguire Visualizza certificati con lo snap-in MMC per usare lo snap-in MMC e lo strumento Gestione certificati.
    Usare lo snap-in Gestione certificati per individuare il certificato radice o emittente per il dispositivo locale. È consigliabile eseguire i comandi snap-in Gestione certificati da una delle impostazioni seguenti:

    • Un client basato su Windows che ha aggiunto il dominio e ha installato il certificato radice
    • Un altro computer nel dominio contenente il certificato radice

  3. Esportare il certificato CA radice.
    I certificati CA radice possono essere esportati dalla directory Autorità di certificazione radice personale o attendibile, come illustrato negli esempi seguenti:
    screenshot that shows personal certificates
    screenshot that shows trusted root certification authorities

    Assicurarsi che il certificato sia esportato nella X.509 con codifica Base 64 (. Formato CER):

    Certificate Export Wizard

Abilitare LDAP su TLS e caricare il certificato CA radice

  1. Passare all'account NetApp usato per il volume e selezionare Connessioni Active Directory. Selezionare quindi Aggiungi per creare una nuova connessione AD o Modifica per modificare una connessione AD esistente.

  2. Nella finestra Aggiungi Active Directory o Modifica Active Directory visualizzata selezionare la casella di controllo LDAP su TLS per abilitare LDAP su TLS per il volume. Selezionare quindi Certificato CA radice del server e caricare il certificato CA radice generato da usare per LDAP su TLS.

    Screenshot that shows the LDAP over TLS option

    Assicurarsi che il nome dell'autorità di certificazione possa essere risolto da DNS. Questo nome è il campo "Rilasciato da" o "Autorità di certificazione" nel certificato:

    Screenshot that shows certificate information

Se è stato caricato un certificato non valido e sono presenti configurazioni di Active Directory, volumi SMB o volumi Kerberos, si verifica un errore simile al seguente:

Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.

Per risolvere la condizione di errore, caricare un certificato CA radice valido nell'account NetApp come richiesto dal server LDAP di Windows Active Directory per l'autenticazione LDAP.

Disabilitare LDAP su TLS

La disabilitazione di LDAP su TLS interrompe la crittografia delle query LDAP in Active Directory (server LDAP). Non esistono altre precauzioni o effetti sui volumi ANF esistenti.

  1. Passare all'account NetApp usato per il volume e selezionare Connessioni Active Directory. Selezionare quindi Modifica per modificare la connessione AD esistente.

  2. Nella finestra Modifica Active Directory visualizzata deselezionare la casella di controllo LDAP su TLS e selezionare Salva per disabilitare LDAP su TLS per il volume.

Passaggi successivi