TLS를 통해 LDAP(Lightweight Directory Access Protocol)를 사용하여 Azure NetApp Files 볼륨과 Active Directory LDAP 서버 간의 통신을 보호할 수 있습니다. Azure NetApp 파일의 NFS, SMB 및 이중 프로토콜 볼륨에 대해 TLS를 통한 LDAP을 활성화할 수 있습니다.
고려 사항
- Azure NetApp Files Active Directory 연결에 지정된 AD 사이트 이름에 할당된 각 AD DS 도메인 컨트롤러에 대해 DNS 포인터(PTR) 레코드가 있어야 합니다.
- 사이트 내의 모든 도메인 컨트롤러에 대해 PTR 레코드가 존재해야 AD DS LDAP over TLS가 제대로 작동합니다.
- 계속 액세스하기 위해 만료 날짜 전에 Active Directory 인증서를 갱신합니다.
루트 CA 인증서를 생성하고 내보내기
루트 CA 인증서가 없는 경우 루트 CA 인증서를 생성하고 TLS 인증을 통해 LDAP에 사용하기 위해 내보내야 합니다.
MMC(Microsoft Management Console) 스냅인을 사용하여 인증서를 봅니다. 인증서 관리자 스냅인을 사용하여 로컬 장치의 루트 또는 발급 인증서를 찾으십시오. 인증서 관리 스냅인 명령을 다음 설정 중 하나에서 실행해야 합니다.
- 도메인에 가입하고 루트 인증서가 설치된 Windows 기반 클라이언트
- 루트 인증서를 포함하는 도메인의 다른 기기
루트 CA 인증서를 내보내기.
루트 CA 인증서는 개인 또는 신뢰할 수 있는 루트 인증 기관 디렉터리에서 내보낼 수 있습니다. 다음 이미지는 개인 루트 인증 기관 디렉터리를 보여줍니다:
.인증서가 Base-64로 인코딩된 X.509 (.CER) 형식으로 내보내졌는지 확인하십시오.
TLS를 통한 LDAP 사용을 활성화하고 루트 CA 인증서를 업로드합니다.
볼륨에 사용되는 NetApp 계정으로 이동한 다음 Active Directory 연결을 선택합니다.
조인을 선택하여 새 AD 연결을 만들거나 편집을 선택하여 기존 AD 연결을 편집합니다.
Active Directory 가입 또는 Active Directory 편집 창이 나타나면, 볼륨에 대해 LDAP over TLS를 활성화하기 위해 LDAP over TLS 체크박스를 선택하십시오. 서버 루트 CA 인증서를 선택한 다음, LDAP를 TLS로 사용하기 위해 생성된 루트 CA 인증서를 업로드하십시오.
인증 기관의 이름이 DNS에 의해 해결될 수 있는지 확인하십시오. 이 이름은 인증서의 "발급자" 또는 "발행자" 필드입니다.
잘못된 인증서를 업로드하고 기존 AD 구성, SMB 볼륨 또는 Kerberos 볼륨이 있는 경우 다음과 유사한 오류가 발생합니다.
Unable to validate the LDAP client configuration from LDAP server, please check connectivity or LDAP settings under AD connection.오류 상태를 해결하려면, LDAP 인증을 위해 Windows Active Directory LDAP 서버에서 요구하는 대로 유효한 루트 CA 인증서를 NetApp 계정에 업로드하십시오.
TLS를 통한 LDAP 비활성화
TLS를 통해 LDAP를 사용하지 않도록 설정하면 LDAP 서버(Active Directory)에 대한 암호화 LDAP 쿼리가 중지됩니다. 기존 Azure NetApp Files 볼륨에는 다른 예방 조치나 영향이 없습니다.
볼륨에 사용되는 NetApp 계정으로 이동한 다음 , Active Directory 연결을 선택합니다.
편집을 선택하여 기존 AD 연결을 편집합니다.
표시되는 Active Directory 편집 창에서 TLS를 통해 LDAP 확인란의 선택을 취소한 다음 저장 을 선택하여 볼륨에 대한 TLS를 통해 LDAP를 사용하지 않도록 설정합니다.