Configurar AD DS LDAP sobre TLS para arquivos NetApp do Azure

Você pode usar o protocolo LDAP (Lightweight Directory Access Protocol) sobre TLS para proteger a comunicação entre um volume de Arquivos NetApp do Azure e o servidor LDAP do Ative Directory. Você pode habilitar LDAP sobre TLS para volumes NFS, SMB e de protocolo duplo dos Arquivos NetApp do Azure.

Considerações

• Os registos de ponteiro DNS (PTR) devem existir para cada controlador de domínio AD DS atribuído ao Nome do Site do AD especificado na conexão do Active Directory do Azure NetApp Files.
• Os registros PTR devem existir para todos os controladores de domínio no site para que o AD DS LDAP sobre TLS funcione corretamente.
• Renove o certificado do Active Directory antes da data de expiração para acesso contínuo.

Gerar e exportar certificado de autoridade de certificação raiz

Se você não tiver um certificado de autoridade de certificação raiz, precisará gerar um e exportá-lo para uso com autenticação LDAP sobre TLS.

1. Instale a Autoridade de Certificação (CA) no Windows Server.

2. Exiba certificados com o snap-in do Console de Gerenciamento Microsoft (MMC). Utilize o snap-in Gestor de Certificados para localizar a raiz ou o certificado emissor para o dispositivo local. Deve executar os comandos do snap-in de Gestão de Certificados a partir de uma das seguintes configurações:

   • Um cliente baseado no Windows que ingressou no domínio e tem o certificado raiz instalado
   • Outra máquina no domínio que contém o certificado raiz

3. Exporte o certificado da autoridade de certificação raiz.
   Os certificados de Autoridade de Certificação Raiz podem ser exportados do diretório de Autoridades de Certificação Raiz Pessoais ou Confiáveis. A imagem a seguir mostra o diretório da Autoridade de Certificação Raiz Pessoal:
   .

   Certifique-se de que o certificado seja exportado no formato X.509 codificado Base-64 (.CER):

   

Habilite o LDAP sobre TLS e carregue o certificado de CA raiz

1. Vá para a conta NetApp utilizada para o volume e selecione Ligações do Active Directory.

2. Selecione Ingressar para criar uma nova conexão do AD ou Editar para editar uma conexão do AD existente.

3. Na janela Join Active Directory ou Edit Active Directory que aparece, marque a caixa de seleção LDAP sobre TLS para ativar o LDAP sobre TLS para o volume. Em seguida, selecione o Certificado CA Raiz do Servidor e carregue o certificado CA raiz gerado para usar com LDAP sobre TLS.

   

   Certifique-se de que o nome da autoridade de certificação pode ser resolvido pelo DNS. Este nome é o campo "Emitido por" ou "Emitente" no certificado:

   

   Se você carregou um certificado inválido e tem configurações existentes do AD, volumes SMB ou volumes Kerberos, ocorrerá um erro semelhante ao seguinte: Unable to validate the LDAP client configuration from LDAP server, please check connectivity or LDAP settings under AD connection.

   Para resolver a condição de erro, carregue um certificado de autoridade de certificação raiz válido para sua conta NetApp, conforme exigido pelo servidor LDAP do Windows Ative Directory para autenticação LDAP.

Desativar LDAP sobre TLS

A desativação do LDAP sobre TLS interrompe a criptografia de consultas LDAP para o Ative Directory (servidor LDAP). Não há outras precauções ou impacto nos volumes existentes dos Arquivos NetApp do Azure.

1. Vá para a conta NetApp usada para o volume e selecione Conexões do Ative Directory.

2. Selecione Editar para editar a conexão AD existente.

3. Na janela Editar Ative Directory exibida, desmarque a caixa de seleção LDAP sobre TLS e selecione Salvar para desabilitar LDAP sobre TLS para o volume.

Próximos passos

• Criar um volume NFS para o Azure NetApp Files
• Criar um volume SMB para o Azure NetApp Files
• Criar um volume de protocolo duplo para Azure NetApp Files
• Modificar ligações do Active Directory para o Azure NetApp Files
• Compreender o uso do LDAP com os Arquivos NetApp do Azure