天天看點
傳回

将阿裡雲SMB協定檔案系統挂載點接入AD域添加NAS服務賬号注冊NAS檔案系統挂載點域名生成Keytab密鑰表檔案更多

在使用特定AD域中的使用者身份來挂載SMB協定的阿裡雲檔案存儲NAS檔案系統之前,需要先在AD域内為相應的NAS檔案系統的注冊服務并生成Keytab密鑰表檔案。請通過阿裡雲檔案存儲NAS控制台打開SMB ACL功能并上傳keytab檔案。

添加NAS服務賬号

使用dsadd指令行工具為NAS在AD域中添加服務賬号。以下為使用dsadd工具的Powershell指令模闆:

dsadd user CN=[阿裡雲NAS服務賬号名],DC=[AD域名],DC=com
  -samid [阿裡雲NAS服務賬号名]
  -display [使用者描述文字]
  -pwd [使用者密碼]
  -pwdneverexpires yes

指令範例:

dsadd user CN=alinas,DC=MYDOMAIN,DC=com -samid alinas -display "Alibaba Cloud NAS Service Account" -pwd tHePaSsWoRd123 -pwdneverexpires yes

使用dsadd工具添加NAS服務賬号的實際效果請參考以下GIF動圖(其中使用者密碼等敏感資訊已塗黑)。

将阿裡雲SMB協定檔案系統挂載點接入AD域添加NAS服務賬号注冊NAS檔案系統挂載點域名生成Keytab密鑰表檔案更多

關于dsadd工具的更多詳情請參考微軟官方文檔:

https://social.technet.microsoft.com/wiki/contents/articles/11389.directory-service-command-line-tools.aspx

注冊NAS檔案系統挂載點域名

使用setspn指令行工具在NAS服務賬号名下為單個NAS檔案系統挂載點注冊添加服務主體。以下為使用setspn工具的Powershell指令模闆:

setspn -S cifs/[SMB協定NAS檔案系統挂載點域名] [NAS服務賬号使用者名ID]

指令範例:

setspn -S cifs/nas-mount-point.nas.aliyuncs.com alinas

使用setspn工具為SMB協定NAS檔案系統挂載點域名注冊服務主體的實際效果請參考以下GIF動圖(其中檔案系統名等敏感資訊已塗黑)。

将阿裡雲SMB協定檔案系統挂載點接入AD域添加NAS服務賬号注冊NAS檔案系統挂載點域名生成Keytab密鑰表檔案更多

關于setspn工具的更多詳情請參考微軟官方文檔:

https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spns-setspn-syntax-setspn-exe.aspx

生成Keytab密鑰表檔案

使用ktpass指令行工具為NAS檔案系統挂載點服務主體生成Keytab密鑰表檔案以供NAS進行使用者身份認證之用。以下為使用ktpass工具的Powershell指令模闆:

ktpass
  -princ cifs/[SMB協定NAS檔案系統挂載點域名]
  -ptype KRB5_NT_PRINCIPAL
  -crypto All
  -out [生成的密鑰表檔案的檔案路徑]
  -pass [使用者密碼]           
ktpass -princ cifs/[email protected] -ptype KRB5_NT_PRINCIPAL -crypto All -out c:\nas-mount-point.keytab -pass tHePaSsWoRd123

使用ktpass工具為SMB協定NAS檔案系統挂載點域名的對應服務主體生成Keytab密鑰表檔案的實際效果請參考以下GIF動圖(其中檔案系統名、密碼、密鑰内容等敏感資訊已塗黑)。

将阿裡雲SMB協定檔案系統挂載點接入AD域添加NAS服務賬号注冊NAS檔案系統挂載點域名生成Keytab密鑰表檔案更多

關于ktpss工具的更多詳情請參考微軟官方文檔:

https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass

更多

下面是使用基于AD域系統的使用者身份認證及通路權限控制可能需要的相關知識點:

  1. 阿裡雲SMB協定檔案存儲服務支援基于AD域的使用者身份認證及權限通路控制介紹 ,總體介紹阿裡雲SMB協定檔案存儲服務支援基于AD域的使用者身份認證及權限通路控制的設計實作。
  2. Kerberos網絡身份認證協定介紹及SMB檔案系統對其的支援 ,介紹Kerberos網絡身份認證協定以及與SMB協定問系統的互動。
  3. 安裝并啟用Active Directory域服務與DNS服務 ,介紹如何在VPC中安裝并啟用AD域服務和DNS服務。
  4. 将Windows系統機器加入AD域 ,介紹如何将windows機器加入AD域。
  5. 将阿裡雲SMB協定檔案系統挂載點接入AD域 ,介紹如何在AD域伺服器以及阿裡雲SMB協定檔案系統中進行必要的配置來支援基于AD域的使用者身份認證及權限通路控制。
  6. 從Windows以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統 ,介紹如何從windows用戶端以域使用者身份挂載使用阿裡雲SMB協定檔案系統。
  7. Linux用戶端以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統 ,介紹如何從Linux用戶端以域使用者身份挂載使用阿裡雲SMB協定檔案系統。
  8. 阿裡雲SMB協定檔案系統ACL權限控制使用指南 ,介紹如何正确地配置阿裡雲SMB協定檔案系統的ACL以及相應的規則描述。
  9. 阿裡雲SMB協定檔案系統AD身份認證和ACL權限控制使用場景 - Home Directory / User Profile ,介紹使用權限控制的域使用者Home Directory以及User Profile兩個場景下的相關配置及實作。
  10. MacOS用戶端連接配接阿裡雲NAS SMB檔案系統 ,介紹如何從MacOS用戶端挂載使用阿裡雲SMB協定檔案系統。
網絡協定 Linux 檔案存儲 資料安全/隐私保護 Windows iOS開發 macOS 檔案系統挂載 建立挂載檔案系統 檔案系統挂載點 挂載系統檔案 quot系統指定的檔案
上一篇: 加速查詢MaxCompute再對接FBI(帆軟)的完整鍊路來啦!概要前提條件操作步驟
下一篇: 将Windows系統機器加入AD域設定DNS Server位址加入AD域更多

繼續閱讀