Linux用戶端以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統

阿裡雲SMB協定檔案存儲服務可以支援基于AD域系統的使用者身份認證及通路權限控制了，使線下傳統的基于微軟的Active Directory域的檔案系統及應用可以無縫地遷移到阿裡雲上來，進一步降低SMB協定的檔案系統使用和運維成本。阿裡雲SMB協定檔案存儲服務可以依賴使用者部署線上下或者阿裡雲上的AD域控制器，通過Kerberos網絡身份認證協定來進行AD域使用者身份的認證，然後基于認證的域身份來進行目錄和檔案級别的通路權限控制。

本文介紹了如何在Linux用戶端以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統。如果需要在windows以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統，請參考

從Windows以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統

需要注意的是，阿裡雲的SMB協定檔案存儲服務支援Kerberos認證協定和windows Active Directory對接，目前暫不支援NTLM的認證協定。是以，在以AD域使用者身份挂載阿裡雲SMB檔案系統時，需要指明使用Kerberos認證協定。否則，Linux系統會以預設NTLM的身份登入，在SMB檔案系統支援guest身份登入的情況下，實際登入的是guest賬号。

你可以在Linux系統加入域或者不加入域的情況下，都可以以域使用者的身份挂載檔案系統。下面以Linux系統不加入域的情況為例，描述以域使用者身份挂載阿裡雲SMB協定檔案系統的流程。

在Linux系統不加入域的情況下以域使用者身份挂載阿裡雲SMB檔案系統

1. 确認你已經安裝必須的包。要以域使用者身份挂載阿裡雲SMB協定檔案系統，需要cifs-utils和krb5-workstation兩個包。

   yum install cifs-utils krb5-workstation           

2. 添加域控制器AD的kdc到/etc/hosts

   xxx.xxx.xxx.xxx    <kdc_domain_name>           

3. 修改/etc/krb5.conf, 添加域相關的kdc配置資訊。

   [libdefaults]
   default_realm = <domain_name>
   [realms]
   # EXAMPLE.COM = {
   #  kdc = kerberos.example.com
   #  admin_server = kerberos.example.com
   # }
   <domain_name> = {
     kdc = <kdc_domain_name>
   }           

4. 得到通路阿裡雲SMB協定檔案系統挂載點的票據資訊(如果是比較新的Linux版本，可以跳過這一步。)。

   # kinit -S cifs/<smb_filesystem_mount_point> domain_user_name@<domain_name> -V
   Using default cache: persistent:0:0
   Using principal: domain_user_name@<domain_name>
   Password for domain_user_name@<domain_name>:
   Authenticated to Kerberos v5           

5. 查詢票據資訊：klist

   # klist
   Ticket cache: KEYRING:persistent:0:0
   Default principal: <domain_user_name>@<domain_name>
   Valid starting       Expires              Service principal
   07/31/2019 05:57:36  07/31/2019 15:57:36  cifs/<smb_filesystem_mount_point>@<domain_name>
      renew until 08/07/2019 05:57:32           

6. 用域使用者身份挂載阿裡雲檔案系統。注意，需要指明安全認證協定為krb5。否則使用者會以guest賬号登入。如果是比較舊的版本，需要進行第5步）

   mount -t cifs //<smb_filesystem_mount_point>/myshare /mnt -o vers=2.1,sec=krb5           

7. 挂載檔案系統後，挂載目錄中的檔案和目錄顯示的使用者名群組是Linux本地執行挂載指令的賬号，權限為755。但是，如果通路挂載時所用的域使用者沒有權限的目錄，則會通路失敗。如下所示，testnopermission目錄是其他域使用者建立的目錄，雖然ls -l顯示有通路權限，但是其通路被SMB檔案系統的ACL所限制。

1. 我們建議用windows用戶端來配置阿裡雲SMB檔案系統的acl。當然，你也可以用getcifsacl和setcifsacl指令來取得或者配置阿裡雲SMB檔案系統中的檔案或目錄的acl。

更多的關于SMB檔案系統的ACL配置資訊以及ACL規則，參考《

阿裡雲SMB協定檔案系統ACL權限控制使用指南

》。

阿裡雲SMB協定檔案存儲服務基于AD域系統的使用者身份認證及通路控制的相關文章

如果要使用阿裡雲SMB協定檔案存儲服務的基于AD域系統的使用者身份認證及通路權限控制功能，請在阿裡雲檔案系統控制台打開配置該功能。具體請參考

将阿裡雲SMB協定檔案系統挂載點接入AD域

。

下面是使用基于AD域系統的使用者身份認證及通路權限控制可能需要的相關知識點：

1. 阿裡雲SMB協定檔案存儲服務支援基于AD域的使用者身份認證及權限通路控制介紹 ，總體介紹阿裡雲SMB協定檔案存儲服務支援基于AD域的使用者身份認證及權限通路控制的設計實作。
2. Kerberos網絡身份認證協定介紹及SMB檔案系統對其的支援 ，介紹Kerberos網絡身份認證協定以及與SMB協定問系統的互動。
3. 安裝并啟用Active Directory域服務與DNS服務 ，介紹如何在VPC中安裝并啟用AD域服務和DNS服務。
4. 将Windows系統機器加入AD域 ，介紹如何将windows機器加入AD域。
5. ，介紹如何在AD域伺服器以及阿裡雲SMB協定檔案系統中進行必要的配置來支援基于AD域的使用者身份認證及權限通路控制。
6. ，介紹如何從windows用戶端以域使用者身份挂載使用阿裡雲SMB協定檔案系統。
7. Linux用戶端以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統 ，介紹如何從Linux用戶端以域使用者身份挂載使用阿裡雲SMB協定檔案系統。
8. 加入AD域的Linux用戶端以AD域身份自動挂載阿裡雲SMB協定檔案系統 ，介紹如何把Linux用戶端加入AD域，如何挂載以及自動挂載阿裡雲SMB協定檔案系統。
9. ，介紹如何正确地配置阿裡雲SMB協定檔案系統的ACL以及相應的規則描述。
10. 阿裡雲SMB協定檔案系統AD身份認證和ACL權限控制使用場景 - Home Directory / User Profile ，介紹使用權限控制的域使用者Home Directory以及User Profile兩個場景下的相關配置及實作。
11. MacOS用戶端連接配接阿裡雲NAS SMB檔案系統 ，介紹如何從MacOS用戶端挂載使用阿裡雲SMB協定檔案系統。