为 ONTAP SMB 服务器配置 LDAP over TLS
建议更改
PDF
为 ONTAP SMB 服务器配置 LDAP over TLS,以保护 SMB 服务器与 Active Directory LDAP 服务器之间的通信。
步骤 1:导出 ONTAP SMB SVM 的自签名根 CA 证书
要使用基于 SSL/TLS 的 LDAP 确保 Active Directory 通信安全,必须先将 Active Directory 证书服务的自签名根 CA 证书副本导出到证书文件,然后将其转换为 ASCII 文本文件。ONTAP 使用此文本文件在 Storage Virtual Machine ( SVM )上安装证书。
必须已为 CIFS 服务器所属的域安装并配置 Active Directory Certificate Service。您可以通过查阅 "Microsoft TechNet 库: technet.microsoft.com"来查找有关安装和配置 Active Directory Certificate Services 的信息。Step
-
获取中域控制器的根CA证书
.pem文本格式。
在 SVM 上安装证书。
步骤 2:在 ONTAP SMB SVM 上安装自签名根 CA 证书
如果在绑定到 LDAP 服务器时需要使用 TLS 进行 LDAP 身份验证,则必须先在 SVM 上安装自签名根 CA 证书。
ONTAP中使用TLS通信的所有应用程序都可以使用联机证书状态协议(Online Certificate Status Protocol、OCSP)检查数字证书状态。如果为基于 TLS 的 LDAP 启用了 OCSP ,则已撤销的证书将被拒绝,并且连接将失败。
-
安装自签名根 CA 证书:
-
开始证书安装:
security certificate install -vserver <SVM_name> -type server-ca控制台输出将显示以下消息:
Please enter Certificate: Press <Enter> when done -
打开证书
.pem文件,使用文本编辑器复制证书,包括以开头的行-----BEGIN CERTIFICATE-----并以结尾-----END CERTIFICATE-----,然后在命令提示符后粘贴证书。 -
验证证书是否显示正确。
-
按 Enter 键完成安装。
-
-
验证证书是否已安装:
security certificate show -vserver <SVM_name>
步骤 3:在 ONTAP SMB 服务器上启用 LDAP over TLS
在SMB服务器使用TLS与Active Directory LDAP服务器进行安全通信之前、您必须修改SMB服务器安全设置以启用基于TLS的LDAP。
从 ONTAP 9.10.1 开始,默认情况下, Active Directory ( AD )和名称服务 LDAP 连接均支持 LDAP 通道绑定。只有在启用了 Start-TLS 或 LDAPS 且会话安全设置为 sign 或 seal 的情况下, ONTAP 才会尝试使用 LDAP 连接进行通道绑定。要禁用或重新启用与AD服务器的LDAP通道绑定、请使用 -try-channel-binding-for-ad-ldap 参数 vserver cifs security modify 命令:
要了解更多信息、请参见:
-
配置允许与 Active Directory LDAP 服务器进行安全 LDAP 通信的 SMB 服务器安全设置:
vserver cifs security modify -vserver <SVM_name> -use-start-tls-for-ad-ldap true -
验证 LDAP over TLS 安全设置是否设置为
true:vserver cifs security show -vserver <SVM_name>
如果SVM使用同一个LDAP服务器来查询名称映射或其他UNIX信息(例如用户、组和网络组)、则还必须修改
-use-start-tls选项vserver services name-service ldap client modify命令: