将阿里云SMB协议文件系统挂载点接入AD域-阿里云开发者社区

开发者社区> 阿里云存储服务> 正文
登录阅读全文

将阿里云SMB协议文件系统挂载点接入AD域

须致 2019-12-08 2012浏览量

简介: 在使用特定AD域中的用户身份来挂载SMB协议的阿里云文件存储NAS文件系统之前,需要先在AD域内为相应的NAS文件系统的注册服务并生成Keytab密钥表文件。

在使用特定AD域中的用户身份来挂载SMB协议的阿里云文件存储NAS文件系统之前,需要先在AD域内为相应的NAS文件系统的注册服务并生成Keytab密钥表文件。请通过阿里云文件存储NAS控制台打开SMB ACL功能并上传keytab文件。

添加NAS服务账号

使用dsadd命令行工具为NAS在AD域中添加服务账号。以下为使用dsadd工具的Powershell命令模板:

dsadd user CN=[阿里云NAS服务账号名],DC=[AD域名],DC=com
  -samid [阿里云NAS服务账号名]
  -display [用户描述文字]
  -pwd [用户密码]
  -pwdneverexpires yes

命令范例:

dsadd user CN=alinas,DC=MYDOMAIN,DC=com -samid alinas -display "Alibaba Cloud NAS Service Account" -pwd tHePaSsWoRd123 -pwdneverexpires yes

使用dsadd工具添加NAS服务账号的实际效果请参考以下GIF动图(其中用户密码等敏感信息已涂黑)。
dsadd

关于dsadd工具的更多详情请参考微软官方文档:

https://social.technet.microsoft.com/wiki/contents/articles/11389.directory-service-command-line-tools.aspx

注册NAS文件系统挂载点域名

使用setspn命令行工具在NAS服务账号名下为单个NAS文件系统挂载点注册添加服务主体。以下为使用setspn工具的Powershell命令模板:

setspn -S cifs/[SMB协议NAS文件系统挂载点域名] [NAS服务账号用户名ID]

命令范例:

setspn -S cifs/nas-mount-point.nas.aliyuncs.com alinas

使用setspn工具为SMB协议NAS文件系统挂载点域名注册服务主体的实际效果请参考以下GIF动图(其中文件系统名等敏感信息已涂黑)。
setspn

关于setspn工具的更多详情请参考微软官方文档:

https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spns-setspn-syntax-setspn-exe.aspx

生成Keytab密钥表文件

使用ktpass命令行工具为NAS文件系统挂载点服务主体生成Keytab密钥表文件以供NAS进行用户身份认证之用。以下为使用ktpass工具的Powershell命令模板:

ktpass
  -princ cifs/[SMB协议NAS文件系统挂载点域名]
  -ptype KRB5_NT_PRINCIPAL
  -crypto All
  -out [生成的密钥表文件的文件路径]
  -pass [用户密码]

命令范例:

ktpass -princ cifs/nas-mount-point.nas.aliyuncs.com@MYDOMAIN.com -ptype KRB5_NT_PRINCIPAL -crypto All -out c:\nas-mount-point.keytab -pass tHePaSsWoRd123

使用ktpass工具为SMB协议NAS文件系统挂载点域名的对应服务主体生成Keytab密钥表文件的实际效果请参考以下GIF动图(其中文件系统名、密码、密钥内容等敏感信息已涂黑)。
ktpass

关于ktpss工具的更多详情请参考微软官方文档:
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass

更多

下面是使用基于AD域系统的用户身份认证及访问权限控制可能需要的相关知识点:

  1. 阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制介绍,总体介绍阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制的设计实现。
  2. Kerberos网络身份认证协议介绍及SMB文件系统对其的支持,介绍Kerberos网络身份认证协议以及与SMB协议问系统的交互。
  3. 安装并启用Active Directory域服务与DNS服务,介绍如何在VPC中安装并启用AD域服务和DNS服务。
  4. 将Windows系统机器加入AD域,介绍如何将windows机器加入AD域。
  5. 将阿里云SMB协议文件系统挂载点接入AD域,介绍如何在AD域服务器以及阿里云SMB协议文件系统中进行必要的配置来支持基于AD域的用户身份认证及权限访问控制。
  6. 从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统,介绍如何从windows客户端以域用户身份挂载使用阿里云SMB协议文件系统。
  7. Linux客户端以AD域用户身份挂载使用阿里云SMB协议文件系统,介绍如何从Linux客户端以域用户身份挂载使用阿里云SMB协议文件系统。
  8. 阿里云SMB协议文件系统ACL权限控制使用指南,介绍如何正确地配置阿里云SMB协议文件系统的ACL以及相应的规则描述。
  9. 阿里云SMB协议文件系统AD身份认证和ACL权限控制使用场景 - Home Directory / User Profile,介绍使用权限控制的域用户Home Directory以及User Profile两个场景下的相关配置及实现。
  10. MacOS客户端连接阿里云NAS SMB文件系统,介绍如何从MacOS客户端挂载使用阿里云SMB协议文件系统。
网络协议 Linux 文件存储 数据安全/隐私保护 Windows iOS开发 MacOS

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享: