Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar LDAP sobre TLS para servidores SMB do ONTAP

Colaboradores netapp-aherbin
PDFs

Configure o LDAP sobre TLS para servidores SMB do ONTAP para proteger a comunicação entre o servidor SMB e os servidores LDAP do Active Directory.

Etapa 1: Exportar certificados de CA raiz autoassinados para SVMs SMB do ONTAP

Para usar LDAP em SSL/TLS para proteger a comunicação do ative Directory, primeiro você deve exportar uma cópia do certificado CA raiz autoassinado do ative Directory Service para um arquivo de certificado e convertê-lo em um arquivo de texto ASCII. Esse arquivo de texto é usado pelo ONTAP para instalar o certificado na máquina virtual de storage (SVM).

O Serviço de Certificados do Active Directory já deve estar instalado e configurado para o domínio ao qual o servidor CIFS pertence. Você pode encontrar informações sobre como instalar e configurar o Serviço de Certificados do Active Directory consultando o "Microsoft TechNet Library: technet.microsoft.com" .Step

  1. Obtenha um certificado de CA raiz do controlador de domínio que está no .pem formato de texto.

    "Microsoft TechNet Library: technet.microsoft.com"

O que vem a seguir

Instale o certificado no SVM.

Etapa 2: instale certificados de CA raiz autoassinados no ONTAP SMB SVM

Se a autenticação LDAP com TLS for necessária ao vincular a servidores LDAP, primeiro você deverá instalar o certificado de CA raiz autoassinado no SVM.

Sobre esta tarefa

Todos os aplicativos do ONTAP que usam comunicações TLS podem verificar o status do certificado digital usando o protocolo OCSP (Online Certificate Status Protocol). Se o OCSP estiver ativado para LDAP através de TLS, os certificados revogados serão rejeitados e a conexão falhará.

Passos

  1. Instale o certificado CA raiz autoassinado:

    1. Inicie a instalação do certificado:

      security certificate install -vserver <SVM_name> -type server-ca

      A saída do console exibe a seguinte mensagem: Please enter Certificate: Press <Enter> when done

    2. Abra o arquivo de certificado .pem com um editor de texto, copie o certificado, incluindo as linhas que começam com -----BEGIN CERTIFICATE----- e terminam com -----END CERTIFICATE-----, e cole o certificado após o prompt de comando.

    3. Verifique se o certificado é exibido corretamente.

    4. Conclua a instalação pressionando Enter.

  2. Verifique se o certificado está instalado:

    security certificate show -vserver <SVM_name>
Informações relacionadas

Etapa 3: habilite o LDAP sobre TLS no servidor SMB do ONTAP

Antes que o servidor SMB possa usar TLS para comunicação segura com um servidor LDAP do ative Directory, você deve modificar as configurações de segurança do servidor SMB para ativar o LDAP sobre TLS.

A partir do ONTAP 9.10,1, a vinculação de canal LDAP é suportada por padrão para conexões LDAP do ative Directory (AD) e serviços de nome. O ONTAP tentará a vinculação de canais com conexões LDAP somente se o Start-TLS ou LDAPS estiver ativado junto com a segurança da sessão definida para assinar ou selar. Para desativar ou reativar a vinculação de canais LDAP com servidores AD, use o -try-channel-binding-for-ad-ldap parâmetro com o vserver cifs security modify comando.

Para saber mais, consulte:

Passos

  1. Configure a configuração de segurança do servidor SMB que permite a comunicação LDAP segura com servidores LDAP do Active Directory:

    vserver cifs security modify -vserver <SVM_name> -use-start-tls-for-ad-ldap true

  2. Verifique se a configuração de segurança LDAP sobre TLS está definida como true:

    vserver cifs security show -vserver <SVM_name>
    Observação

    Se o SVM usar o mesmo servidor LDAP para consultar o mapeamento de nomes ou outras informações do UNIX (como usuários, grupos e netgroups), você também deve modificar a -use-start-tls opção usando o vserver services name-service ldap client modify comando.