為 Azure NetApp Files 設定 AD DS LDAP over TLS

您可以使用 LDAP over TLS 來保護 Azure NetApp Files 磁碟區與 Active Directory LDAP 伺服器之間的通訊。 您可以為 Azure NetApp Files 的 NFS、SMB 和雙重通訊協定磁碟區啟用 LDAP over TLS。

考量

• 指派給 Azure NetApp Files Active Directory 連線中指定 AD 網站名稱的每個 AD DS 網域控制站都必須有 DNS PTR 記錄。
• 網站中所有的網域控制站都必須有 PTR 記錄，AD DS LDAP over TLS 才能正常運作。

產生和匯出根 CA 憑證

如果您沒有根 CA 憑證，必須產生一個，並將其匯出用於 LDAP over TLS 驗證。

1. 依照安裝憑證授權單位的指示來安裝和設定 AD DS 憑證授權單位。

2. 依照使用 MMC 嵌入式管理單元檢視憑證的指示，使用 MMC 嵌入式管理單元和憑證管理員工具。
   使用憑證管理員嵌入式管理單元，找出本機裝置的根憑證或發行憑證。 您應從下列其中一個設定執行憑證管理嵌入式管理單元命令：

   • 已加入網域且已安裝根憑證的 Windows 型用戶端
   • 網域中包含根憑證的另一個機器

3. 匯出根 CA 憑證。
   根 CA 憑證可以從「個人」或「信任的根憑證授權單位」目錄匯出，如下列範例所示：
   
   

   請確定憑證以 Base-64 編碼 X.509 (.CER) 格式匯出：

   

啟用 LDAP over TLS 並上傳根 CA 憑證

1. 前往用於磁碟區的 NetApp 帳戶，然後選取 [Active Directory 連線]。 然後，選取 [加入] 以建立新的 AD 連線，或選取 [編輯] 以編輯現有的 AD 連線。

2. 在出現的 [加入 Active Directory] 或 [編輯 Active Directory] 視窗中，選取 [LDAP over TLS] 核取方塊，為磁碟區啟用 LDAP over TLS。 然後，選取 [伺服器根 CA 憑證]，然後上傳 [產生的根 CA 憑證]，以用於 LDAP over TLS。

   

   請確定 DNS 可以解析憑證授權單位名稱。 此名稱是憑證上的 [發行者] 或 [簽發者] 欄位：

   

如果您上傳了無效的憑證，且您有現有的 AD 設定、SMB 磁碟區或 Kerberos 磁碟區，則會發生如下錯誤：

Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.

若要解決錯誤狀況，請將有效的根 CA 憑證上傳至 Windows Active Directory LDAP 伺服器所需的 NetApp 帳戶，以進行 LDAP 驗證。

停用 LDAP over TLS

停用 LDAP over TLS 後，將會停止加密對 Active Directory (LDAP 伺服器) 的 LDAP 查詢。 現有的 ANF 磁碟區沒有其他注意事項或影響。

1. 前往用於磁碟區的 NetApp 帳戶，然後選取 [Active Directory 連線]。 然後，選取 [編輯] 以編輯現有的 AD 連線。

2. 在顯示的 [編輯 Active Directory] 視窗中，取消選取 [LDAP over TLS] 核取方塊，然後選取 [儲存] 以停用磁碟區的 LDAP over TLS。

下一步

• 建立適用於 Azure NetApp Files 的 NFS 磁碟區
• 建立適用於 Azure NetApp Files 的 SMB 磁碟區
• 建立 Azure NetApp Files 的雙重通訊協定磁碟區
• 修改 Azure NetApp Files 的 Active Directory 連線
• 瞭解搭配 Azure NetApp Files 使用 LDAP 的方法