本文介绍将阿里云SMB文件系统挂载点接入AD域内,实现以AD域的用户身份对用户身份的认证和文件级别的权限访问控制。
背景信息
在以特定AD域中的用户身份来挂载使用SMB协议的阿里云文件存储NAS文件系统之前,需要先在AD域内为相应的NAS文件系统注册服务,生成并上传Keytab密钥表文件。
前提条件
- 已安装和启用AD域服务与DNS服务,详情请参见安装并启用AD域服务与DNS服务。
- 已创建SMB文件系统,详情请参见创建SMB文件系统。
更新时间:2020-07-13 17:06
本文介绍将阿里云SMB文件系统挂载点接入AD域内,实现以AD域的用户身份对用户身份的认证和文件级别的权限访问控制。
在以特定AD域中的用户身份来挂载使用SMB协议的阿里云文件存储NAS文件系统之前,需要先在AD域内为相应的NAS文件系统注册服务,生成并上传Keytab密钥表文件。
dsadd user CN=[AD服务账号名],DC=[AD域域名],DC=com
-samid [AD服务账号名]
-display [用户描述文字]
-pwd [用户密码]
-pwdneverexpires yes
dsadd user CN=alinas,DC=MYDOMAIN,DC=com -samid alinas -display "Alibaba Cloud NAS Service Account" -pwd tHePaSsWoRd123 -pwdneverexpires yes
setspn -S cifs/[SMB协议NAS文件系统挂载点] [AD服务账号名]
setspn -S cifs/nas-mount-target.nas.aliyuncs.com alinas
ktpass
-princ cifs/[SMB协议NAS文件系统挂载点域名]
-ptype KRB5_NT_PRINCIPAL
-crypto All
-out [生成的密钥表文件的文件路径]
-pass [用户密码]
ktpass -princ cifs/nas-mount-target.nas.aliyuncs.com@MYDOMAIN.com -ptype KRB5_NT_PRINCIPAL -crypto All -out c:\nas-mount-target.keytab -pass tHePaSsWoRd123
参数 | 是否可修改 | 描述 |
---|---|---|
认证方式 | 否 | 默认值为:Kerberos。 |
允许匿名访问 | 是 | 如果允许匿名访问,则允许任何人以NTLM方式挂载该卷。挂载后身份为Everyone,ACL将继续起作用。
默认值为:否。 |
启用传输加密 | 是 | 是否开启SMB3传输加密功能。
默认值为:否。 |
拒绝非加密客户端 | 是 | 是否拒绝不支持加密的客户端。
启动传输加密时才可选择。 默认值为:否。 |
Keytab文件 | 是 | 上传Keytab文件。
单击修改配置后才可显示此参数。 |
在文档使用中是否遇到以下问题
更多建议
匿名提交