Konfigurieren von AD DS LDAP über TLS für Azure NetApp Files

Sie können LDAP über TLS verwenden, um die Kommunikation zwischen einem Azure NetApp Files und dem Active Directory LDAP-Server zu schützen. Sie können LDAP über TLS für NFS-, SMB- und Dualprotokollvolumes von Azure NetApp Files aktivieren.

Überlegungen

  • DNS-PTR-Einträge müssen für jeden AD DS-Domänencontroller vorhanden sein, der dem AD-Standortnamen in der Active Directory-Verbindung von Azure NetApp Files zugewiesen ist.
  • PTR-Einträge müssen für alle Domänencontroller am Standort vorhanden sein, damit das AD DS LDAP über TLS ordnungsgemäß funktioniert.

Generieren und Exportieren des Zertifikats der Stammzertifizierungsstelle

Wenn Sie kein Zertifikat der Stammzertifizierungsstelle haben, müssen Sie ein Zertifikat generieren und für die Verwendung mit LDAP über die TLS-Authentifizierung exportieren.

  1. Sehen Sie sich den Screenshot der Zertifizierungsstelle an, um die AD DS-Zertifizierungsstelle zu installieren und zu konfigurieren.

  2. Sehen Sie sich den Screenshot der Anzeige von Zertifikaten mit dem MMC-Snap-In an, um das MMC-Snap-In und das Tool „Zertifikat-Manager“ zu verwenden.
    Verwenden Sie das Snap-In „Zertifikat-Manager“, um das Stamm- oder Ausstellerzertifikat für das lokale Gerät zu suchen. Sie sollten die Befehle des Snap-Ins „Zertifikatverwaltung“ über eine der folgenden Einstellungen ausführen:

    • Windows-basierter Client, der der Domäne hinzugefügt wurde und auf dem das Stammzertifikat installiert ist
    • Anderer Computer in der Domäne mit dem Stammzertifikat
  3. Exportieren Sie das Zertifikat der Stammzertifizierungsstelle.
    Zertifikate der Stammzertifizierungsstelle können aus den Verzeichnissen „Persönlich“ oder „Vertrauenswürdige Stammzertifizierungsstellen“ exportiert werden. Die folgende Abbildung zeigt die Stammzertifizierungsstelle im Verzeichnis „Persönlich“:
    Screenshot mit persönlichen Zertifikaten..

    Achten Sie darauf, dass das Zertifikat im Base64-codierten X.509-Format (.CER) exportiert wird:

    Screenshot des Zertifikatexport-Assistenten.

Aktivieren von LDAP über TLS und Hochladen des Zertifikats der Stammzertifizierungsstelle

  1. Wechseln Sie zu dem NetApp-Konto, das für das Volume verwendet wird, und wählen Sie die Option Active Directory-Verbindungen aus. Wählen Sie dann die Option Beitreten aus, um eine neue AD-Verbindung zu erstellen, oder Bearbeiten, um eine vorhandene AD-Verbindung zu bearbeiten.

  2. Aktivieren Sie im angezeigten Fenster Active Directory beitreten oder Active Directory bearbeiten das Kontrollkästchen LDAP über TLS, um LDAP über TLS für das Volume zu aktivieren. Wählen Sie dann die Option Serverzertifikat der Stammzertifizierungsstelle aus, und laden Sie das generierte Zertifikat der Stammzertifizierungsstelle hoch, das für das LDAP über TLS verwendet werden soll.

    Screenshot: LDAP über TLS-Option

    Stellen Sie sicher, dass der Name der Zertifizierungsstelle durch DNS aufgelöst werden kann. Dieser Name ist das Feld „Ausgestellt von“ oder „Aussteller“ im Zertifikat:

    Screenshot: Zertifikatinformationen

Wenn Sie ein ungültiges Zertifikat hochgeladen haben und über vorhandene AD-Konfigurationen, SMB-Volumes oder Kerberos-Volumes verfügen, tritt ein Fehler ähnlich dem folgenden auf:

Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.

Um die Fehlerbedingung zu beheben, laden Sie ein gültiges Zertifikat der Stammzertifizierungsstelle in Ihr NetApp-Konto hoch, wie vom Windows Active Directory LDAP-Server für die LDAP-Authentifizierung erforderlich.

Deaktivieren Sie LDAP über TLS

Das Deaktivieren von LDAP über TLS stoppt die Verschlüsselung von LDAP-Abfragen an Active Directory (LDAP-Server). Es gibt keine weiteren Vorsichtsmaßnahmen oder Auswirkungen auf vorhandene ANF-Volumes.

  1. Wechseln Sie zu dem NetApp-Konto, das für das Volume verwendet wird, und wählen Sie die Option Active Directory-Verbindungen aus. Wählen Sie dann Bearbeiten aus, um die vorhandene AD-Verbindung zu bearbeiten.

  2. Deaktivieren Sie im angezeigten Fenster Active Directory bearbeiten das Kontrollkästchen LDAP über TLS, und wählen Sie Speichern aus, um das LDAP über TLS für das Volume zu deaktivieren.

Nächste Schritte