本方介绍将阿里云SMB文件系统挂载点接入AD域内,实现以AD域的用户身份对用户身份的认证和文件级别的权限访问控制。
背景信息
在以特定AD域中的用户身份来挂载使用SMB协议的阿里云文件存储NAS文件系统之前,需要先在AD域内为相应的NAS文件系统注册服务,生成并上传Keytab密钥表文件。
操作步骤
- 创建阿里云NAS文件系统在用户AD域内的服务账号。
使用dsadd命令行工具为NAS在AD域中添加服务账号,比如命名为alinas。使用dsadd工具的Powershell命令模板如下所示。
dsadd user CN=[AD服务账号名],DC=[AD域域名],DC=com
-samid [AD服务账号名]
-display [用户描述文字]
-pwd [用户密码]
-pwdneverexpires yes
命令范例如下所示。
dsadd user CN=alinas,DC=MYDOMAIN,DC=com -samid alinas -display "Alibaba Cloud NAS Service Account" -pwd tHePaSsWoRd123 -pwdneverexpires yes
- 注册NAS文件系统挂载点域名。
使用setspn命令行工具在NAS服务账号名下为单个NAS文件系统挂载点注册添加服务主体。使用setspn工具的Powershell命令模板如下所示。
setspn -S cifs/[SMB协议NAS文件系统挂载点] [AD服务账号名]
命令范例如下所示。
setspn -S cifs/nas-mount-target.nas.aliyuncs.com alinas
- 为NAS文件系统挂载点服务生成Keytab密钥表文件。
使用ktpass命令行工具为NAS文件系统挂载点服务主体生成Keytab密钥表文件,实现NAS进行用户身份认证。使用ktpass工具的Powershell命令模板如下所示。
ktpass
-princ cifs/[SMB协议NAS文件系统挂载点域名]
-ptype KRB5_NT_PRINCIPAL
-crypto All
-out [生成的密钥表文件的文件路径]
-pass [用户密码]
命令范例如下所示。
ktpass -princ cifs/nas-mount-target.nas.aliyuncs.com@MYDOMAIN.com -ptype KRB5_NT_PRINCIPAL -crypto All -out c:\nas-mount-target.keytab -pass tHePaSsWoRd123
- 下载阿里云文件系统服务账号的keytab。
根据ktpass工具的Powershell命令中设置的文件路径,下载keytab文件。
- 上传阿里云文件系统服务账号的Keytab文件。
登录阿里云
NAS控制台,选择,找到目标文件系统,单击文件系统ID或者
管理。在
访问控制区域,单击
开启,并上传阿里云文件系统服务账号的Keytab文件。
在SMB ACL功能开启之后,当前界面会显示以下参数信息。单击
修改配置可以对参数进行修改。
| 参数 |
是否可修改 |
描述 |
| 认证方式 |
否 |
默认值为:Kerberos。 |
| 允许匿名访问 |
是 |
如果允许匿名访问,则允许任何人以NTLM方式挂载该卷。挂载后身份为Everyone,ACL将继续起作用。
默认值为:否。
|
| 启用传输加密 |
是 |
是否开启SMB3传输加密功能。
默认值为:否。
|
| 拒绝非加密客户端 |
是 |
是否拒绝不支持加密的客户端。
启动传输加密时才可选择。
默认值为:否。
|
| Keytab文件 |
是 |
上传Keytab文件。
单击修改配置后才可显示此参数。
|
说明 在修改配置界面,客户端如果已经挂载该卷,需要重新挂载后才能在客户端生效。
执行结果
阿里云SMB文件系统挂载点接入到了AD域内。在完成AD域接入之后,用户可以开始以AD域用户身份挂载使用阿里云SMB协议文件系统。
在文档使用中是否遇到以下问题
更多建议
匿名提交