将阿里云SMB协议文件系统挂载点接入AD域

2019-12-08 2955

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 在使用特定AD域中的用户身份来挂载SMB协议的阿里云文件存储NAS文件系统之前，需要先在AD域内为相应的NAS文件系统的注册服务并生成Keytab密钥表文件。

+关注继续查看

在使用特定AD域中的用户身份来挂载SMB协议的阿里云文件存储NAS文件系统之前，需要先在AD域内为相应的NAS文件系统的注册服务并生成Keytab密钥表文件。请通过阿里云文件存储NAS控制台打开SMB ACL功能并上传keytab文件。

添加NAS服务账号

使用dsadd命令行工具为NAS在AD域中添加服务账号。以下为使用dsadd工具的Powershell命令模板：

dsadd user CN=[阿里云NAS服务账号名],DC=[AD域名],DC=com
  -samid [阿里云NAS服务账号名]
  -display [用户描述文字]
  -pwd [用户密码]
  -pwdneverexpires yes

命令范例：

dsadd user CN=alinas,DC=MYDOMAIN,DC=com -samid alinas -display "Alibaba Cloud NAS Service Account" -pwd tHePaSsWoRd123 -pwdneverexpires yes

使用dsadd工具添加NAS服务账号的实际效果请参考以下GIF动图（其中用户密码等敏感信息已涂黑）。
dsadd

关于dsadd工具的更多详情请参考微软官方文档：

https://social.technet.microsoft.com/wiki/contents/articles/11389.directory-service-command-line-tools.aspx

注册NAS文件系统挂载点域名

使用setspn命令行工具在NAS服务账号名下为单个NAS文件系统挂载点注册添加服务主体。以下为使用setspn工具的Powershell命令模板：

setspn -S cifs/[SMB协议NAS文件系统挂载点域名] [NAS服务账号用户名ID]

命令范例:

setspn -S cifs/nas-mount-point.nas.aliyuncs.com alinas

使用setspn工具为SMB协议NAS文件系统挂载点域名注册服务主体的实际效果请参考以下GIF动图（其中文件系统名等敏感信息已涂黑）。
setspn

关于setspn工具的更多详情请参考微软官方文档：

https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spns-setspn-syntax-setspn-exe.aspx

生成Keytab密钥表文件

使用ktpass命令行工具为NAS文件系统挂载点服务主体生成Keytab密钥表文件以供NAS进行用户身份认证之用。以下为使用ktpass工具的Powershell命令模板：

ktpass
  -princ cifs/[SMB协议NAS文件系统挂载点域名]
  -ptype KRB5_NT_PRINCIPAL
  -crypto All
  -out [生成的密钥表文件的文件路径]
  -pass [用户密码]

命令范例：

ktpass -princ cifs/nas-mount-point.nas.aliyuncs.com@MYDOMAIN.com -ptype KRB5_NT_PRINCIPAL -crypto All -out c:\nas-mount-point.keytab -pass tHePaSsWoRd123

使用ktpass工具为SMB协议NAS文件系统挂载点域名的对应服务主体生成Keytab密钥表文件的实际效果请参考以下GIF动图（其中文件系统名、密码、密钥内容等敏感信息已涂黑）。
ktpass

关于ktpss工具的更多详情请参考微软官方文档：
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass

下面是使用基于AD域系统的用户身份认证及访问权限控制可能需要的相关知识点：

阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制介绍，总体介绍阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制的设计实现。
Kerberos网络身份认证协议介绍及SMB文件系统对其的支持，介绍Kerberos网络身份认证协议以及与SMB协议问系统的交互。
安装并启用Active Directory域服务与DNS服务，介绍如何在VPC中安装并启用AD域服务和DNS服务。
将Windows系统机器加入AD域，介绍如何将windows机器加入AD域。
将阿里云SMB协议文件系统挂载点接入AD域，介绍如何在AD域服务器以及阿里云SMB协议文件系统中进行必要的配置来支持基于AD域的用户身份认证及权限访问控制。
从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统，介绍如何从windows客户端以域用户身份挂载使用阿里云SMB协议文件系统。
Linux客户端以AD域用户身份挂载使用阿里云SMB协议文件系统，介绍如何从Linux客户端以域用户身份挂载使用阿里云SMB协议文件系统。
阿里云SMB协议文件系统ACL权限控制使用指南，介绍如何正确地配置阿里云SMB协议文件系统的ACL以及相应的规则描述。
阿里云SMB协议文件系统AD身份认证和ACL权限控制使用场景 - Home Directory / User Profile，介绍使用权限控制的域用户Home Directory以及User Profile两个场景下的相关配置及实现。
MacOS客户端连接阿里云NAS SMB文件系统，介绍如何从MacOS客户端挂载使用阿里云SMB协议文件系统。