如果共享存储NAS所属的工作区为AD工作区,并且NAS文件系统开启了SMB ACL功能,您可以将NAS接入到AD域内,实现以AD域的用户身份对用户身份的认证和文件级别的权限访问控制。本文介绍如何配置访问控制,将开启了SMB ACL功能的NAS文件系统挂载点接入到AD域内。

前提条件

已创建共享存储NAS,且NAS对应的工作区为AD工作区。关于如何创建共享存储NAS,请参见创建共享存储NAS

背景信息

在以特定AD域中的用户身份来挂载使用SMB协议的阿里云文件存储NAS文件系统之前,需要先将开启了SMB ACL功能的NAS文件系统挂载点接入到AD域内。相关操作流程如下:
  1. 在AD域内为相应的NAS文件系统注册服务。
  2. 生成并上传Keytab密钥表文件。

操作步骤

  1. 登录无影云桌面控制台
  2. 在顶部菜单栏左上角处,选择地域。
  3. 在左侧导航栏,选择存储 > 共享存储NAS
  4. 共享存储NAS页面,找到目标NAS,单击对应操作列中的访问控制
  5. 访问控制页面,完成相关配置。
    1. 阅读操作提示后,登录AD服务器,通过Powershell执行相关命令,以获取Keytab文件,然后下一步:上传Keytab文件
      您可以单击下载命令文件,并将文件上传到AD服务器,以便可以复制命令然后执行。命令相关说明如下:
      1. 创建阿里云NAS文件系统在AD域内的服务账号
        dsadd user CN=alinas,DC=edstest,DC=org -samid alinas -display "Alibaba Cloud NAS Service Account" -pwd tHePaSsWoRd123 -pwdneverexpires yes
      2. 注册NAS文件系统挂载点域名
        setspn -S cifs/0bf744****-xob**.cn-hangzhou.nas.aliyuncs.com alinas

        上述命令示例中,0bf744****-xob**.cn-hangzhou.nas.aliyuncs.com为NAS文件系统挂载点域名,alinas为上一步创建的AD服务账号名。

      3. 为NAS文件系统挂载点服务生成Keytab密钥表文件
        ktpass -princ cifs/0bf744****-xob**.cn-hangzhou.nas.aliyuncs.com@edstest**.org -ptype KRB5_NT_PRINCIPAL -crypto All -out c:\nas-mount-target.keytab -pass tHePaSsWoRd123

        上述命令示例中,0bf744****-xob**.cn-hangzhou.nas.aliyuncs.com为NAS文件系统挂载点域名,edstest**.org为AD域名,-out c:\nas-mount-target.keytab表示生成的keytab文件保存在C盘。

    2. 单击选择文件,上传AD中生成的Keytab文件,然后单击下一步:配置规则
    3. 确认规则情况,单击关闭
      目前暂不支持修改规则,规则的相关说明如下:
      • 认证方式:默认为Kerberos。
      • 允许匿名访问:默认为否,不允许任何人以NTLM方式挂载该NAS文件系统。
        说明 Linux云桌面自动挂载时仅支持匿名挂载,如果想要以域用户身份挂载,您需要手动为Linux云桌面挂载NAS文件系统。
      • 启用传输加密:默认为否,不开启SMB3传输加密功能。
      • 拒绝非加密客户端:默认为否。

后续步骤

根据云桌面的操作系统类型,您需要执行以下操作:
  • 对于Windows云桌面,支持以域用户身份自动挂载NAS文件系统。在配置访问控制后,您无需额外操作。
  • 对于Linux云桌面,自动挂载时仅支持匿名挂载NAS文件系统。在配置访问控制后,您需要手动将NAS文件系统以域用户身份挂载到云桌面。具体操作,请参见Linux云桌面手动挂载NAS文件系统