Configurare LDAP di Active Directory Domain Services tramite TLS per Azure NetApp Files
È possibile usare LDAP tramite TLS per proteggere la comunicazione tra un volume di Azure NetApp Files e il server LDAP di Active Directory. È possibile abilitare LDAP su TLS per volumi NFS, SMB e a doppio protocollo di Azure NetApp Files.
Considerazioni
- Devono esistere record PTR DNS per ogni controller di dominio di Active Directory Domain Services assegnato al Nome sito Active Directory specificato nella connessione Active Directory di Azure NetApp Files.
- Devono esistere record PTR per tutti i controller di dominio nel sito affinché LDAP di Active Directory Domain Services tramite TLS funzioni correttamente.
Generare ed esportare un certificato della CA radice
Se non si dispone di un certificato della CA radice, è necessario generarne uno ed esportarlo per utilizzarlo con LDAP tramite l'autenticazione TLS.
Seguire Screenshot dell'autorità di certificazione per installare e configurare l'autorità di certificazione di Active Directory Domain Services.
Seguire Screenshot dei certificati di visualizzazione con lo snap-in di MMC per usare lo snap-in di MMC e lo strumento Gestione certificati.
Usare lo snap-in di Gestione certificati per individuare il certificato emittente o radice per il dispositivo locale. Eseguire i comandi snap-in di Gestione certificati da una delle impostazioni seguenti:- Un client basato su Windows che ha aggiunto il dominio e ha installato il certificato radice
- Un altro computer nel dominio contenente il certificato radice
Esportare il certificato della CA radice.
I certificati della CA radice possono essere esportati dalla directory Autorità di certificazione radice disponibile nell'elenco locale o personale. L'immagine seguente mostra la directory Autorità di certificazione radice personale:
.Assicurarsi che il certificato sia esportato in formato X.509 con codifica Base-64 (.CER):
Abilitare LDAP su TLS e caricare il certificato della CA radice
Passare all'account NetApp usato per il volume e selezionare Connessioni Active Directory. Selezionare quindi Unisci per creare una nuova connessione Active Directory o Modifica per modificare una connessione Active Directory esistente.
Nella finestra Unisci Active Directory o Modifica Active Directory che viene visualizzata, selezionare la casella di controllo LDAP su TLS per abilitare LDAP su TLS per il volume. Selezionare quindi Certificato della CA radice del server e caricare il Certificato della CA radice generato da usare per LDAP su TLS.
Assicurarsi che il nome dell'autorità di certificazione possa essere risolto tramite DNS. Questo nome è il campo "Emesso da" o "Emittente" nel certificato:
Se è stato caricato un certificato non valido ed esistono presenti configurazioni di Active Directory, volumi SMB o volumi Kerberos, si verifica un errore simile al seguente:
Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.
Per risolvere la condizione di errore, caricare un certificato della CA radice valido nell'account NetApp come richiesto dal server LDAP di Windows Active Directory per l'autenticazione LDAP.
Disabilitare LDAP su TLS
La disabilitazione di LDAP su TLS interrompe la crittografia delle query LDAP in Active Directory (server LDAP). Non esistono altre precauzioni o impatti sui volumi ANF esistenti.
Passare all'account NetApp usato per il volume e selezionare Connessioni Active Directory. Selezionare quindi Modifica per modificare la connessione Active Directory esistente.
Nella finestra Modifica Active Directory che viene visualizzata, deselezionare la casella di controllo LDAP su TLS e selezionare Salva per disabilitare LDAP su TLS per il volume.