Configurar o LDAP do AD DS por TLS para o Azure NetApp Files
Você pode usar o LDAP por TLS para proteger a comunicação entre um volume do Azure NetApp Files e o servidor LDAP do Active Directory. Você pode habilitar o LDAP por TLS para volumes NFS, SMB e de protocolo duplo do Azure NetApp Files.
Considerações
- Os registros DNS PTR precisam existir para cada controlador de domínio do AD DS atribuído ao Nome do Site do AD especificado na conexão do Active Directory do Azure NetApp Files.
- Os registros PTR precisam existir para que todos os controladores de domínio no site para LDAP do AD DS por TLS funcionem corretamente.
Gerar e exportar o Certificado de Autoridade de Certificação raiz
Se você não tem um Certificado de Autoridade de Certificação raiz, gere um e exporte-o para que seja usado com a autenticação LDAP por TLS.
Siga Captura de tela da Autoridade de Certificação para instalar e configurar a Autoridade de Certificação do AD DS.
Siga Captura de tela da exibição de certificados com o snap-in do MMC para usar o snap-in do MMC e a ferramenta Gerenciador de Certificados.
Use o snap-in do Gerenciador de Certificados para localizar a raiz ou emitir o certificado para o dispositivo local. Você deve executar os comandos do snap-in do Gerenciamento de Certificados em uma das seguintes configurações:- Um cliente baseado no Windows que ingressou no domínio e tem o certificado raiz instalado
- Outro computador no domínio que contém o certificado raiz
Exporte o Certificado de Autoridade de Certificação raiz.
Os certificados de AC raiz podem ser exportados do diretório Autoridades de Certificação Raiz Pessoais ou Confiáveis. A seguinte imagem mostra o diretório Autoridade de Certificação Raiz Pessoal:
.Verifique se o certificado é exportado no formato X.509 codificado em Base 64 (.CER):
Habilitar o LDAP por TLS e carregar o Certificado de Autoridade de Certificação raiz
Acesse a conta do NetApp usada para o volume e selecione Conexões do Active Directory. Depois, selecione ingressar para criar uma conexão do AD ou em Editar para editar uma conexão existente do AD.
Na janela Ingressar no Active Directory ou Editar o Active Directory que aparece, marque a caixa de seleção LDAP por TLS para habilitar o LDAP por TLS para o volume. Depois, selecione Certificado de Autoridade de Certificação raiz do servidor e carregue o Certificado de Autoridade de Certificação raiz gerado a ser usado para LDAP por TLS.
Verifique se o nome da autoridade de certificação pode ser resolvido pelo DNS. Esse nome é o campo "Emitido por" ou "Emissor" no certificado:
Se você carregou um certificado inválido e tem configurações existentes do AD, volumes SMB ou volumes Kerberos, um erro semelhante ao seguinte ocorrerá:
Error updating Active Directory settings The LDAP client configuration "ldapUserMappingConfig" for Vservers is an invalid configuration.
Para resolver a condição de erro, carregue um Certificado de Autoridade de Certificação raiz válido na conta do NetApp, conforme exigido pelo servidor LDAP do Windows Active Directory para autenticação LDAP.
Desabilitar LDAP sobre TLS
Desabilitar o LDAP sobre TLS interrompe a criptografia de consultas LDAP para Active Directory (servidor LDAP). Não há nenhuma outra precauções ou impacto sobre os volumes seja existentes.
Acesse a conta do NetApp usada para o volume e selecione Conexões do Active Directory. Em seguida, clique em Editar para editar a conexão do AD existente.
Na janela Editar o Active Directory que aparece, desmarque a caixa de seleção LDAP por TLS e selecione Salvar para desabilitar o LDAP por TLS para o volume.