将阿里云SMB协议文件系统挂载点接入AD域

简介: 在使用特定AD域中的用户身份来挂载SMB协议的阿里云文件存储NAS文件系统之前,需要先在AD域内为相应的NAS文件系统的注册服务并生成Keytab密钥表文件。
+关注继续查看

在使用特定AD域中的用户身份来挂载SMB协议的阿里云文件存储NAS文件系统之前,需要先在AD域内为相应的NAS文件系统的注册服务并生成Keytab密钥表文件。请通过阿里云文件存储NAS控制台打开SMB ACL功能并上传keytab文件。

添加NAS服务账号

使用dsadd命令行工具为NAS在AD域中添加服务账号。以下为使用dsadd工具的Powershell命令模板:

dsadd user CN=[阿里云NAS服务账号名],DC=[AD域名],DC=com
  -samid [阿里云NAS服务账号名]
  -display [用户描述文字]
  -pwd [用户密码]
  -pwdneverexpires yes

命令范例:

dsadd user CN=alinas,DC=MYDOMAIN,DC=com -samid alinas -display "Alibaba Cloud NAS Service Account" -pwd tHePaSsWoRd123 -pwdneverexpires yes

使用dsadd工具添加NAS服务账号的实际效果请参考以下GIF动图(其中用户密码等敏感信息已涂黑)。
dsadd

关于dsadd工具的更多详情请参考微软官方文档:

https://social.technet.microsoft.com/wiki/contents/articles/11389.directory-service-command-line-tools.aspx

注册NAS文件系统挂载点域名

使用setspn命令行工具在NAS服务账号名下为单个NAS文件系统挂载点注册添加服务主体。以下为使用setspn工具的Powershell命令模板:

setspn -S cifs/[SMB协议NAS文件系统挂载点域名] [NAS服务账号用户名ID]

命令范例:

setspn -S cifs/nas-mount-point.nas.aliyuncs.com alinas

使用setspn工具为SMB协议NAS文件系统挂载点域名注册服务主体的实际效果请参考以下GIF动图(其中文件系统名等敏感信息已涂黑)。
setspn

关于setspn工具的更多详情请参考微软官方文档:

https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spns-setspn-syntax-setspn-exe.aspx

生成Keytab密钥表文件

使用ktpass命令行工具为NAS文件系统挂载点服务主体生成Keytab密钥表文件以供NAS进行用户身份认证之用。以下为使用ktpass工具的Powershell命令模板:

ktpass
  -princ cifs/[SMB协议NAS文件系统挂载点域名]
  -ptype KRB5_NT_PRINCIPAL
  -crypto All
  -out [生成的密钥表文件的文件路径]
  -pass [用户密码]

命令范例:

ktpass -princ cifs/nas-mount-point.nas.aliyuncs.com@MYDOMAIN.com -ptype KRB5_NT_PRINCIPAL -crypto All -out c:\nas-mount-point.keytab -pass tHePaSsWoRd123

使用ktpass工具为SMB协议NAS文件系统挂载点域名的对应服务主体生成Keytab密钥表文件的实际效果请参考以下GIF动图(其中文件系统名、密码、密钥内容等敏感信息已涂黑)。
ktpass

关于ktpss工具的更多详情请参考微软官方文档:
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass

更多

下面是使用基于AD域系统的用户身份认证及访问权限控制可能需要的相关知识点:

  1. 阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制介绍,总体介绍阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制的设计实现。
  2. Kerberos网络身份认证协议介绍及SMB文件系统对其的支持,介绍Kerberos网络身份认证协议以及与SMB协议问系统的交互。
  3. 安装并启用Active Directory域服务与DNS服务,介绍如何在VPC中安装并启用AD域服务和DNS服务。
  4. 将Windows系统机器加入AD域,介绍如何将windows机器加入AD域。
  5. 将阿里云SMB协议文件系统挂载点接入AD域,介绍如何在AD域服务器以及阿里云SMB协议文件系统中进行必要的配置来支持基于AD域的用户身份认证及权限访问控制。
  6. 从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统,介绍如何从windows客户端以域用户身份挂载使用阿里云SMB协议文件系统。
  7. Linux客户端以AD域用户身份挂载使用阿里云SMB协议文件系统,介绍如何从Linux客户端以域用户身份挂载使用阿里云SMB协议文件系统。
  8. 阿里云SMB协议文件系统ACL权限控制使用指南,介绍如何正确地配置阿里云SMB协议文件系统的ACL以及相应的规则描述。
  9. 阿里云SMB协议文件系统AD身份认证和ACL权限控制使用场景 - Home Directory / User Profile,介绍使用权限控制的域用户Home Directory以及User Profile两个场景下的相关配置及实现。
  10. MacOS客户端连接阿里云NAS SMB文件系统,介绍如何从MacOS客户端挂载使用阿里云SMB协议文件系统。
目录
相关文章
|
存储 缓存 文件存储
IIS应用使用虚拟目录功能,将数据目录存放到阿里云SMB文件系统上实现弹性存储
阿里云SMB文件系统具有超大容量以及弹性扩展的能力,但是兼容性和性能相比虚拟机系统盘有差距。针对这个特性,可以将IIS应用的数据部分存放在云上文件系统中,应用核心还是在系统盘上运行,通过IIS虚拟目录功能将IIS应用与阿里云SMB文件系统的目录相连。 本文详述了如何配置IIS虚拟目录到阿里云SMB文件系统,实现存储海量扩展。
845 0
IIS应用使用虚拟目录功能,将数据目录存放到阿里云SMB文件系统上实现弹性存储
|
文件存储 Windows
阿里云文件系统NAS SMB如何修改根目录权限
阿里云文件系统服务SMB文件系统(NAS SMB)在没有打开SMB ACL功能时,只支持只读操作,无法修改根目录权限。 在参考《将阿里云SMB协议文件系统挂载点接入AD域》https://help.aliyun.com/document_detail/154930.html,打开SMB ACL功能之后,用户即可修改根目录权限。
566 0
阿里云文件系统NAS SMB如何修改根目录权限
阿里云文件系统SMB ACL超级用户功能使用指南
阿里云文件系统对于SMB文件系统提供了SMB ACL超级用户功能,可以方便客户在无需改变目录权限的情况下查看和修改任何目录或者任何文件。方便文件系统的管理员进行管理。 以下介绍两个适用SMB ACL超级用户功能的案例,方便用户模仿使用。
278 0
|
存储 弹性计算 Linux
企业级客户使用阿里云文件存储NAS SMB配置Home Directory服务指南
阿里云文件存储服务提供SMB/NFS/CIFS等多种文件存储协议,单文件系统可以存储海量数据,方便企业级客户在多个用户之间进行文件共享和协同合作。其中SMB协议是微软生态默认的文件共享协议,经过几十年的长期积累,具备广大的用户群,能够支持Windows、MacOS、Linux等多种客户端。阿里云NAS SMB文件存储通过支持AD域服务,可以对一个企业不同部门的不同员工创建不同的用户身份,结合ACL权限控制功能,达到企业有序可控地共享整个文件系统。
467 0
企业级客户使用阿里云文件存储NAS SMB配置Home Directory服务指南
|
Ubuntu 网络协议 Linux
加入AD域的Linux客户端以AD域身份自动挂载阿里云SMB协议文件系统
本文介绍了如何在加入AD域的Linux客户端以AD域用户身份挂载使用阿里云SMB协议文件系统,并如何配置使AD域用户登陆Linux客户端以后自动挂载。如果需要在windows以AD域用户身份挂载使用阿里云SMB协议文件系统,请参考《从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统》。如果需要从一个未加入AD域的Linux客户端以AD域用户身份挂载使用阿里云SMB协议文件系统,请参考《Linux客户端以AD域用户身份挂载使用阿里云SMB协议文件系统》。
751 0
|
存储 弹性计算 Kubernetes
阿里云ACK服务使用Windows容器挂载NAS SMB最佳实践
前一篇容器文章《Windows容器使用阿里云NAS SMB文件系统做持久化存储目录》介绍了在Windows Docker容器中如何连接阿里云NAS SMB文件卷。本文则着重介绍如何使用K8S配置让阿里云ACK服务的Windows容器使用NAS SMB卷。 我们使用IIS应用作为演示应用,让IIS搭建的网站能够显示出NAS SMB卷的test目录下存储的index.html的内容。 用户可以举一反三,将自己的应用搭建在阿里云ACK上并使用NAS SMB卷。
3646 0
阿里云ACK服务使用Windows容器挂载NAS SMB最佳实践
|
存储 弹性计算 文件存储
Windows容器使用阿里云NAS SMB文件系统做持久化存储目录
随着Windows容器逐渐普及和发展,Windows容器持久化存储以及容器间共享的需求越来越高涨。 本文介绍如何让Windows主机正确配置NAS SMB文件系统,支持Windows容器让Docker镜像使用挂载NAS SMB文件系统的子目录作为持久化存储目录。
5501 0
Windows容器使用阿里云NAS SMB文件系统做持久化存储目录
|
网络协议 Linux 网络安全
MacOS客户端通过阿里云VPN连接阿里云NAS SMB文件系统
SMB远程文件传输协议在远程文件系统领域具有相当的统治地位。主流客户端厂家,包括微软、苹果以及Linux生态圈都支持SMB协议,并且苹果的MacOS已经将SMB作为其默认的远程文件协议。作为国内云厂商的龙头企业,阿里云NAS SMB文件系统也可以支持MacOS客户端。
4843 0
MacOS客户端通过阿里云VPN连接阿里云NAS SMB文件系统
|
安全 文件存储 数据安全/隐私保护
从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统
在完成AD域接入之后,用户即可开始以AD域用户身份挂载使用阿里云SMB协议文件系统了。本文介绍了几种SMB文件系统的挂在方式以及简单的ACL特性使用方法的演示。
5688 0
从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统
|
运维 网络协议 安全
Linux客户端以AD域用户身份挂载使用阿里云SMB协议文件系统
本文介绍了如何在Linux客户端以AD域用户身份挂载使用阿里云SMB协议文件系统。
2892 0
Linux客户端以AD域用户身份挂载使用阿里云SMB协议文件系统
相关产品
对象存储
文件存储NAS
日志服务
推荐文章
更多