Konfigurera AD DS LDAP över TLS för Azure NetApp Files

Du kan använda Lightweight Directory Access Protocol (LDAP) via TLS för att skydda kommunikationen mellan en Azure NetApp Files-volym och Active Directory LDAP-servern. Du kan aktivera LDAP över TLS för NFS-, SMB- och dual-protocol-volymer för Azure NetApp Files.

Överväganden

• DNS-pekarposter (PTR) måste finnas för varje AD DS-domänkontrollant som tilldelats ad-platsnamnet som anges i Azure NetApp Files Active Directory-anslutningen.
• PTR-poster måste finnas för alla domänkontrollanter på platsen för att AD DS LDAP över TLS ska fungera korrekt.

Generera och exportera rotcertifikat för certifikatutfärdare

Om du inte har ett rot-CA-certifikat måste du generera ett och exportera det för att använda med LDAP-autentisering via TLS.

1. Installera certifikatutfärdare (CA) på Windows Server.

2. Visa certifikat med Microsoft Management Console (MMC)-snapin-modulen. Använd snapin-modulen Certifikathanteraren för att hitta roten eller utfärda certifikatet för den lokala enheten. Du bör köra snapin-in-kommandona för certifikathantering från någon av följande inställningar:

   • En Windows-baserad klient som har anslutit till domänen och har rotcertifikatet installerat
   • En annan dator i domänen som innehåller rotcertifikatet

3. Exportera rot-CA-certifikat.
   Rotcertifikat kan exporteras från mappen Personliga eller betrodda rotcertifikatsutfärdare. Följande bild visar katalogen Personlig rotcertifieringsmyndighet:
   .

   Kontrollera att certifikatet exporteras i Base-64-kodade X.509 (. CER)-format:

   

Aktivera LDAP över TLS och ladda upp rot-CA-certifikat

1. Gå till det NetApp-konto som används för volymen och välj sedan Active Directory-anslutningar.

2. Välj Anslut för att skapa en ny AD-anslutning eller Redigera för att redigera en befintlig AD-anslutning.

3. I fönstret Anslut till Active Directory eller Redigera Active Directory som visas markerar du kryssrutan LDAP över TLS för att aktivera LDAP över TLS för volymen. Välj sedan server-rot-CA-certifikat och ladda upp det genererade rot-CA-certifikatet som ska användas för LDAP över TLS.

   

   Kontrollera att certifikatutfärdarnamnet kan matchas av DNS. Det här namnet är fältet "Utfärdat av" eller "Utfärdare" på certifikatet:

   

   Om du har laddat upp ett ogiltigt certifikat och du har befintliga AD-konfigurationer, SMB-volymer eller Kerberos-volymer uppstår ett fel som liknar följande: Unable to validate the LDAP client configuration from LDAP server, please check connectivity or LDAP settings under AD connection.

   För att åtgärda felet, ladda upp ett giltigt rot-CA-certifikat till ditt NetApp-konto enligt kraven från Windows Active Directory LDAP-servern för LDAP-autentisering.

Inaktivera LDAP över TLS

Om du inaktiverar LDAP över TLS stoppas kryptering av LDAP-frågor till Active Directory (LDAP-server). Det finns inga andra försiktighetsåtgärder eller påverkan på befintliga Azure NetApp Files-volymer.

1. Gå till det NetApp-konto som används för volymen och välj sedan Active Directory-anslutningar.

2. Välj Redigera för att redigera den befintliga AD-anslutningen.

3. I fönstret Redigera Active Directory som visas avmarkerar du kryssrutan LDAP över TLS och väljer sedan Spara för att inaktivera LDAP över TLS för volymen.

Nästa steg

• Skapa en NFS-volym för Azure NetApp Files
• Skapa en SMB-volym för Azure NetApp Files
• Skapa en volym med dubbla protokoll för Azure NetApp Files
• Ändra Active Directory-anslutningar för Azure NetApp Files
• Förstå användningen av LDAP med Azure NetApp Files