本方介绍将阿里云SMB文件系统挂载点接入AD域内,实现以AD域的用户身份对用户身份的认证和文件级别的权限访问控制。

背景信息

在以特定AD域中的用户身份来挂载使用SMB协议的阿里云文件存储NAS文件系统之前,需要先在AD域内为相应的NAS文件系统注册服务,生成并上传Keytab密钥表文件。
说明 目前,SMB ACL功能只支持亚太南部1(孟买)、中国香港(香港)、华东2(上海)、英国(伦敦)、欧洲中部 1(法兰克福)、西南1(成都)、亚太东南 2(悉尼)、亚太东南 5(雅加达)、美国东部1(硅谷)、美国西部1(弗吉尼亚)、华北3(张家口)、华东1(杭州)、华北5(呼和浩特)、华东2(北京)地域。

如果您所在的区域还不支持SMB ACL功能,请提交工单。同时,询问上传Keytab文件并开通SMB协议文件系统AD和ACL特性的方法。

前提条件

操作步骤

  1. 创建阿里云NAS文件系统的服务账号。
    使用dsadd命令行工具为NAS在AD域中添加服务账号。使用dsadd工具的Powershell命令模板如下所示。
    dsadd user CN=[用户名ID],DC=MYDOMAIN,DC=com
      -samid [用户名ID]
      -display [用户描述文字]
      -pwd [用户密码]
      -pwdneverexpires yes
    命令范例如下所示。
    dsadd user CN=alinas,DC=MYDOMAIN,DC=com -samid alinas -display "Alibaba Cloud NAS Service Account" -pwd tHePaSsWoRd123 -pwdneverexpires yes
  2. 注册NAS文件系统挂载点域名。
    使用setspn命令行工具在NAS服务账号名下为单个NAS文件系统挂载点注册添加服务主体。使用setspn工具的Powershell命令模板如下所示。
    setspn -S cifs/[SMB协议NAS文件系统挂载点] [NAS服务账号用户名ID]
    命令范例如下所示。
    setspn -S cifs/nas-mount-target.nas.aliyuncs.com alinas
  3. 为NAS文件系统挂载点服务生成Keytab密钥表文件。
    使用ktpass命令行工具为NAS文件系统挂载点服务主体生成Keytab密钥表文件,实现NAS进行用户身份认证。使用ktpass工具的Powershell命令模板如下所示。
    ktpass
      -princ cifs/[SMB协议NAS文件系统挂载点域名]
      -ptype KRB5_NT_PRINCIPAL
      -crypto All
      -out [生成的密钥表文件的文件路径]
      -pass [用户密码]
    命令范例如下所示。
    ktpass -princ cifs/nas-mount-target.nas.aliyuncs.com@MYDOMAIN.com -ptype KRB5_NT_PRINCIPAL -crypto All -out c:\nas-mount-target.keytab -pass tHePaSsWoRd123
  4. 下载阿里云文件系统服务账号的keytab。
    根据ktpass工具的Powershell命令中设置的文件路径,下载keytab文件。
  5. 上传阿里云文件系统服务账号的Keytab文件。
    登录阿里云NAS控制台,选择文件系统 > 文件系统列表,找到目标文件系统,单击文件系统ID或者管理。在访问控制区域,单击开启,并上传阿里云文件系统服务账号的Keytab文件。开启SMBACL
    在SMB ACL功能开启之后,当前界面会显示以下参数信息。单击修改配置可以对参数进行修改。 修改SMBACL
    参数 是否可修改 描述
    认证方式 默认值为:Kerberos。
    允许匿名访问 如果允许匿名访问,则允许任何人以NTLM方式挂载该卷。挂载后身份为Everyone,ACL将继续起作用。

    默认值为:否。

    启用传输加密 是否开启SMB3传输加密功能。

    默认值为:否。

    拒绝非加密客户端 是否拒绝不支持加密的客户端。

    启动传输加密时才可选择。

    默认值为:否。

    Keytab文件 上传Keytab文件。

    单击修改配置后才可显示此参数。

    说明修改配置界面,客户端如果已经挂载该卷,需要重新挂载后才能在客户端生效。

执行结果

阿里云SMB文件系统挂载点接入到了AD域内。在完成AD域接入之后,用户可以开始以AD域用户身份挂载使用阿里云SMB协议文件系统。