开发者社区> 须致> 正文

将阿里云SMB协议文件系统挂载点接入AD域

简介: 在使用特定AD域中的用户身份来挂载SMB协议的阿里云文件存储NAS文件系统之前,需要先在AD域内为相应的NAS文件系统的注册服务并生成Keytab密钥表文件。
+关注继续查看

在使用特定AD域中的用户身份来挂载SMB协议的阿里云文件存储NAS文件系统之前,需要先在AD域内为相应的NAS文件系统的注册服务并生成Keytab密钥表文件。请通过阿里云文件存储NAS控制台打开SMB ACL功能并上传keytab文件。

添加NAS服务账号

使用dsadd命令行工具为NAS在AD域中添加服务账号。以下为使用dsadd工具的Powershell命令模板:

dsadd user CN=[阿里云NAS服务账号名],DC=[AD域名],DC=com
  -samid [阿里云NAS服务账号名]
  -display [用户描述文字]
  -pwd [用户密码]
  -pwdneverexpires yes

命令范例:

dsadd user CN=alinas,DC=MYDOMAIN,DC=com -samid alinas -display "Alibaba Cloud NAS Service Account" -pwd tHePaSsWoRd123 -pwdneverexpires yes

使用dsadd工具添加NAS服务账号的实际效果请参考以下GIF动图(其中用户密码等敏感信息已涂黑)。
dsadd

关于dsadd工具的更多详情请参考微软官方文档:

https://social.technet.microsoft.com/wiki/contents/articles/11389.directory-service-command-line-tools.aspx

注册NAS文件系统挂载点域名

使用setspn命令行工具在NAS服务账号名下为单个NAS文件系统挂载点注册添加服务主体。以下为使用setspn工具的Powershell命令模板:

setspn -S cifs/[SMB协议NAS文件系统挂载点域名] [NAS服务账号用户名ID]

命令范例:

setspn -S cifs/nas-mount-point.nas.aliyuncs.com alinas

使用setspn工具为SMB协议NAS文件系统挂载点域名注册服务主体的实际效果请参考以下GIF动图(其中文件系统名等敏感信息已涂黑)。
setspn

关于setspn工具的更多详情请参考微软官方文档:

https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spns-setspn-syntax-setspn-exe.aspx

生成Keytab密钥表文件

使用ktpass命令行工具为NAS文件系统挂载点服务主体生成Keytab密钥表文件以供NAS进行用户身份认证之用。以下为使用ktpass工具的Powershell命令模板:

ktpass
  -princ cifs/[SMB协议NAS文件系统挂载点域名]
  -ptype KRB5_NT_PRINCIPAL
  -crypto All
  -out [生成的密钥表文件的文件路径]
  -pass [用户密码]

命令范例:

ktpass -princ cifs/nas-mount-point.nas.aliyuncs.com@MYDOMAIN.com -ptype KRB5_NT_PRINCIPAL -crypto All -out c:\nas-mount-point.keytab -pass tHePaSsWoRd123

使用ktpass工具为SMB协议NAS文件系统挂载点域名的对应服务主体生成Keytab密钥表文件的实际效果请参考以下GIF动图(其中文件系统名、密码、密钥内容等敏感信息已涂黑)。
ktpass

关于ktpss工具的更多详情请参考微软官方文档:
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass

更多

下面是使用基于AD域系统的用户身份认证及访问权限控制可能需要的相关知识点:

  1. 阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制介绍,总体介绍阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制的设计实现。
  2. Kerberos网络身份认证协议介绍及SMB文件系统对其的支持,介绍Kerberos网络身份认证协议以及与SMB协议问系统的交互。
  3. 安装并启用Active Directory域服务与DNS服务,介绍如何在VPC中安装并启用AD域服务和DNS服务。
  4. 将Windows系统机器加入AD域,介绍如何将windows机器加入AD域。
  5. 将阿里云SMB协议文件系统挂载点接入AD域,介绍如何在AD域服务器以及阿里云SMB协议文件系统中进行必要的配置来支持基于AD域的用户身份认证及权限访问控制。
  6. 从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统,介绍如何从windows客户端以域用户身份挂载使用阿里云SMB协议文件系统。
  7. Linux客户端以AD域用户身份挂载使用阿里云SMB协议文件系统,介绍如何从Linux客户端以域用户身份挂载使用阿里云SMB协议文件系统。
  8. 阿里云SMB协议文件系统ACL权限控制使用指南,介绍如何正确地配置阿里云SMB协议文件系统的ACL以及相应的规则描述。
  9. 阿里云SMB协议文件系统AD身份认证和ACL权限控制使用场景 - Home Directory / User Profile,介绍使用权限控制的域用户Home Directory以及User Profile两个场景下的相关配置及实现。
  10. MacOS客户端连接阿里云NAS SMB文件系统,介绍如何从MacOS客户端挂载使用阿里云SMB协议文件系统。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
*13、深入理解计算机系统笔记:程序链接(2)
1、可执行目标文件 注:ELF(Executable and Linkable Format) 从上图中可以看出,代码段的地址总是比数据段的地址小。 2、加载可执行目标文件 任何Unix程序都可以通过调用execve函数来调用加载器。
698 0
PHP中利用文件锁实现日志写入和网站接口访问等常见场景下的并发控制
针对并发环境下网站、日志文件写入产生的脏数据、更新丢失等情况的解决思路之一
2707 0
带你读《存储漫谈Ceph原理与实践》第三章接入层3.3.文件存储 CephFS(二)
《存储漫谈Ceph原理与实践》第三章接入层3.3.文件存储 CephFS
78 0
带你读《存储漫谈Ceph原理与实践》第三章接入层3.3.文件存储 CephFS(三)
《存储漫谈Ceph原理与实践》第三章接入层3.3.文件存储 CephFS
207 0
带你读《存储漫谈Ceph原理与实践》第三章接入层3.3.文件存储 CephFS(四)
带你读《存储漫谈Ceph原理与实践》第三章接入层3.3.文件存储 CephFS
54 0
KUBERNETES05_NFS坏境搭建、PV、PVC挂载目录、ConfigMap挂载文件、Secret挂载敏感信息(四)
KUBERNETES05_NFS坏境搭建、PV、PVC挂载目录、ConfigMap挂载文件、Secret挂载敏感信息(四)
52 0
+关注
须致
阿里云文件存储技术专家
5
文章
0
问答
来源圈子
更多
阿里云存储基于飞天盘古2.0分布式存储系统,产品包括对象存储OSS、块存储Block Storage、共享文件存储NAS、表格存储、日志存储与分析、归档存储及混合云存储等,充分满足用户数据存储和迁移上云需求,连续三年跻身全球云存储魔力象限四强。
+ 订阅
相关文档: 混合云容灾服务 混合云备份服务 日志服务
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载