阿裡雲SMB協定檔案存儲服務支援基于AD域的使用者身份認證及權限通路控制介紹

在SMB協定檔案系統服務中，使用者身份的認證是由域控制器來提供的。使用者可以在配置了域控制器的Windows或者Linux伺服器上，以域身份連接配接并通路SMB檔案系統，然後檔案系統伺服器得到使用者的域身份，來達到目錄和檔案級别的通路權限控制。

目前的阿裡雲SMB協定檔案存儲服務不支援多使用者的檔案／目錄級别的權限通路控制，隻提供了一種支援雲賬号以及源位址IP為基礎的檔案系統級别的鑒權和通路控制。随着越來越多的企業客戶的上雲，也出現了更多的阿裡雲客戶對我們提出了對不同的使用者進行檔案及目錄級别的通路控制的要求。比如某醫院，他們目前使用的是EMC Isilon存儲，采用了Isilon自帶的使用者管理。他們希望在上雲後，能夠有和EMC Isilon類似的使用者管理體驗以及類似的對不同使用者的檔案目錄通路權限控制。另外比如某渲染公司，他們目前的本地存儲采用了微軟AD域的使用者認證，希望在上雲後他們的檔案存儲能夠和他們本地的AD域控制器打通，這樣他們的使用者不管從本地或者雲上的VM都能進行同樣的使用者認證，而且雲上的檔案存儲權限控制和線下一緻。

今天，我們很高興地宣布，阿裡雲SMB協定檔案存儲服務也可以支援基于AD域系統的使用者身份認證及通路權限控制了，使線下傳統的基于微軟的Active Directory域的檔案系統及應用可以無縫地遷移到阿裡雲上來，進一步降低SMB協定的檔案系統使用和運維成本。阿裡雲SMB協定檔案存儲服務可以依賴使用者部署線上下或者阿裡雲上的AD域控制器，通過Kerberos網絡身份認證協定來進行AD域使用者身份的認證，然後基于認證的域身份來進行目錄和檔案級别的通路權限控制。

如果要使用阿裡雲SMB協定檔案存儲服務的基于AD域系統的使用者身份認證及通路權限控制功能，請在阿裡雲檔案系統控制台打開配置該功能。具體請參考

将阿裡雲SMB協定檔案系統挂載點接入AD域

。

在本文中，我們首先簡單介紹檔案系統的使用者認證和通路權限控制的概念，然後介紹阿裡雲SMB協定檔案存儲服務支援基于AD域系統的使用者身份認證及通路權限控制的實作。

什麼是檔案系統的使用者認證和通路權限控制

我們來簡單介紹一下檔案系統的使用者認證和通路權限控制的概念。顧名思義，這裡包含兩個層次的概念。首先是使用者認證，也就是身份識别，這是識别一個使用者在一個系統中的身份及所在的組的過程。在網絡檔案系統的應用場景中，這是一個涉及到三方的過程。使用者管理認證子產品負責管理使用者的資訊，包括身份ID，所在的組等，并且提供身份認證服務。用戶端拿着他所聲稱的身份去通路檔案伺服器，檔案伺服器必須能夠以某種方式确認這個身份确實是使用者管理認證子產品認可的身份。在SMB檔案通路協定中，支援的使用者認證協定有Kerberos以及NTLM。《

Kerberos網絡身份認證協定介紹及SMB檔案系統對其的支援

》具體介紹了這Kerberos網絡身份認證協定以及和檔案伺服器的互動過程。而使用者認證子產品，比較常用的有檔案系統本地的使用者管理認證，以及外部的AD域、LDAP域或者NIS域使用者管理認證。

檔案通路權限控制， 包括檔案的通路權限授權和通路權限控制兩個方面。在檔案系統中，目錄和檔案的屬主能夠對系統中的使用者進行讀、寫、修改等通路的授權。當一個使用者通路目錄和檔案時，檔案系統會根據認證後的使用者身份，對比系統中之前設定的授權資訊進行比對，來決定這個通路是否被允許。在相容POSIX的檔案系統語義中（如Linux），這個是通過大家熟悉的mode來進行檔案通路控制。具體來說，每個檔案或目錄的擁有者（owner）是由uid和gid描述的，基本的通路控制mode也即經典的rwxrwxrwx控制串。其中前三位是表示owner uid對應的使用者擁有的權限讀、寫和執行權限，中間三位和最後三位分别是是owner gid對應的組以及所有其他使用者(others)所擁有的讀、寫和執行權限。而在Windows的檔案系統中，通路控制是通過ACL(Access Control List)來描述和控制。ACL即權限控制表，用于描述一個對象（檔案或目錄）上的一系列存取權限。ACL中的每條權限控制項（Access Control Entry， ACE）通常由一個可以驗證身份的Security Principal（如使用者、使用者組，服務賬号等）和該Security Principal在這個對象上擁有的一系列權限組成。常見的權限可能包括讀、寫、執行、删除、審計等。稍具體的請參考《

阿裡雲SMB協定檔案系統ACL權限控制使用指南

》中相關的介紹。

目前阿裡雲SMB協定檔案存儲服務的通路權限控制

目前的阿裡雲SMB協定檔案存儲服務不支援多使用者的檔案／目錄級别的權限通路控制，但是提供了一種支援雲賬号以及源位址IP為基礎的檔案系統級别的鑒權和通路控制。在這種檔案系統級别的通路控制中，首先雲賬号可以通過設定通路權限組，設定一個檔案系統可以被通路的源IP位址清單以及相應的讀寫權限。然後，在使用者建立TCP連接配接請求時，從TCP連接配接中提取對應的VPC以及源IP位址資訊，通過查找比對權限組來設定該連結的讀寫權限。如下圖所示：

在這種通過權限組進行檔案系統級别的權限控制下，使用者隻要能登入授權的機器，就能以權限組配置的權限通路相應的檔案系統。不同的使用者登入機器後，不再進行使用者認證，有着相同的權限（匿名使用者通路）。另外，由于權限控制基于檔案系統級别，不能細粒度地在檔案和目錄級别做通路權限控制。

阿裡雲SMB協定檔案存儲服務基于AD域系統的使用者身份認證及通路控制

經過對客戶需求以及友商産品類似功能的分析，我們也設計了支援客戶VPC或者客戶IDC内的AD域控制器的使用者管理和檔案系統通路權限控制，這樣可以打通混合雲客戶的雲上和雲下使用者認證以及檔案系統權限控制。

在我們的實作中，采用的Kerberos使用者認證協定，主要考慮是在NTLM協定的實作中，需要從檔案服務向AD發起認證請求，而AD在使用者的VPC網絡中或者線上下IDC内。在阿裡雲中，這樣從雲服務向使用者VPC或者IDC資源發起的請求需要開通反向網絡通路并且需要客戶的授權，這樣其複雜性要大大增加。而Kerberos的認證協定不需要檔案服務和客戶AD的直接交流，也就避免了反向網絡打通的複雜性。

基于AD域系統的使用者認證及通路控制的流程大概如下圖所示：

1. 使用者的賬号資訊管理在客戶AD上進行。客戶在AD系統上建立并管理使用者，并建立阿裡雲檔案系統的服務賬号，注冊NAS檔案系統挂載點域名，并為NAS檔案系統挂載點服務生成Keytab密鑰表檔案。然後下載下傳阿裡雲檔案系統服務賬号的keytab。具體步驟請參考《 》
2. 客戶通過 阿裡雲控制台 管理檔案系統，配置檔案系統的使用者認證和通路控制，并上傳阿裡雲檔案系統服務賬号的keytab。
3. Keytab資訊儲存到阿裡雲檔案系統。
4. 使用者通路及權限控制。使用者通過IDC内的應用資源或者VPC内的VM通路檔案系統建立連接配接的時候，首先通過目前已經實作的檔案系統權限組進行權限驗證，根據配置的權限組資訊控制用戶端的連接配接及通路，然後根據下面的邏輯進行使用者認證和通路控制：

   a.使用者通路檔案系統建立連接配接後，通過 SMB協定協商使用者認證協定
   b.檔案伺服器通過查找使用者檔案系統的配置，查詢是否配置了Kerberos認證支援
   c.如果使用者檔案系統配置了Kerberos認證，向用戶端傳回支援Kerberos認證協定
   d.用戶端向AD（使用者VPC内或者使用者IDC内的AD伺服器）發出通路阿裡雲檔案系統服務的請求，AD域控制器認證使用者後用阿裡雲檔案系統服務賬号的密鑰加密使用者資訊，傳回給使用者用戶端
   e.使用者用戶端将加密的使用者資訊通過SMB Session Setup傳給SMB檔案伺服器
   f.檔案伺服器通過使用者提供的檔案系統keytab解密使用者資訊，然後其後在該session的所有通路都用該使用者做為授權對象。
   g.通過認證後，檔案系統傳回使用者用戶端認證通過。否則拒絕session setup請求
   h.應用向檔案系統發出檔案系統通路，讀寫及其他請求。
   i.檔案通路控制由檔案系統伺服器執行。檔案伺服器根據Session的使用者資訊和檔案系統的目錄／檔案的通路權限配置，允許或者拒絕使用者通路。
   j.檔案伺服器向使用者系統傳回檔案通路結果。
              

在這個實作中，檔案及目錄的通路授權可以通過Windows提供的檔案浏覽器進行。

阿裡雲SMB協定檔案存儲服務基于AD域系統的使用者身份認證及通路控制的相關文章

下面是使用基于AD域系統的使用者身份認證及通路權限控制可能需要的相關知識點：

1. 阿裡雲SMB協定檔案存儲服務支援基于AD域的使用者身份認證及權限通路控制介紹 ，總體介紹阿裡雲SMB協定檔案存儲服務支援基于AD域的使用者身份認證及權限通路控制的設計實作。
2. ，介紹Kerberos網絡身份認證協定以及與SMB協定問系統的互動。
3. 安裝并啟用Active Directory域服務與DNS服務 ，介紹如何在VPC中安裝并啟用AD域服務和DNS服務。
4. 将Windows系統機器加入AD域 ，介紹如何将windows機器加入AD域。
5. ，介紹如何在AD域伺服器以及阿裡雲SMB協定檔案系統中進行必要的配置來支援基于AD域的使用者身份認證及權限通路控制。
6. 從Windows以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統 ，介紹如何從windows用戶端以域使用者身份挂載使用阿裡雲SMB協定檔案系統。
7. Linux用戶端以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統 ，介紹如何從Linux用戶端以域使用者身份挂載使用阿裡雲SMB協定檔案系統。
8. ，介紹如何正确地配置阿裡雲SMB協定檔案系統的ACL以及相應的規則描述。
9. 阿裡雲SMB協定檔案系統AD身份認證和ACL權限控制使用場景 - Home Directory / User Profile ，介紹使用權限控制的域使用者Home Directory以及User Profile兩個場景下的相關配置及實作。
10. MacOS用戶端連接配接阿裡雲NAS SMB檔案系統 ，介紹如何從MacOS用戶端挂載使用阿裡雲SMB協定檔案系統。