阿裡雲SMB協定檔案存儲服務可以支援基于AD域系統的使用者身份認證及通路權限控制了,使線下傳統的基于微軟的Active Directory域的檔案系統及應用可以無縫地遷移到阿裡雲上來,進一步降低SMB協定的檔案系統使用和運維成本。阿裡雲SMB協定檔案存儲服務可以依賴使用者部署線上下或者阿裡雲上的AD域控制器,通過Kerberos網絡身份認證協定來進行AD域使用者身份的認證,然後基于認證的域身份來進行目錄和檔案級别的通路權限控制。
本文介紹了如何在Linux用戶端以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統。如果需要在windows以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統,請參考
從Windows以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統需要注意的是,阿裡雲的SMB協定檔案存儲服務支援Kerberos認證協定和windows Active Directory對接,目前暫不支援NTLM的認證協定。是以,在以AD域使用者身份挂載阿裡雲SMB檔案系統時,需要指明使用Kerberos認證協定。否則,Linux系統會以預設NTLM的身份登入,在SMB檔案系統支援guest身份登入的情況下,實際登入的是guest賬号。
你可以在Linux系統加入域或者不加入域的情況下,都可以以域使用者的身份挂載檔案系統。下面以Linux系統不加入域的情況為例,描述以域使用者身份挂載阿裡雲SMB協定檔案系統的流程。
在Linux系統不加入域的情況下以域使用者身份挂載阿裡雲SMB檔案系統
- 确認你已經安裝必須的包。要以域使用者身份挂載阿裡雲SMB協定檔案系統,需要cifs-utils和krb5-workstation兩個包。
yum install cifs-utils krb5-workstation - 添加域控制器AD的kdc到/etc/hosts
xxx.xxx.xxx.xxx <kdc_domain_name> - 修改/etc/krb5.conf, 添加域相關的kdc配置資訊。
[libdefaults] default_realm = <domain_name> [realms] # EXAMPLE.COM = { # kdc = kerberos.example.com # admin_server = kerberos.example.com # } <domain_name> = { kdc = <kdc_domain_name> } - 得到通路阿裡雲SMB協定檔案系統挂載點的票據資訊(如果是比較新的Linux版本,可以跳過這一步。)。
# kinit -S cifs/<smb_filesystem_mount_point> domain_user_name@<domain_name> -V Using default cache: persistent:0:0 Using principal: domain_user_name@<domain_name> Password for domain_user_name@<domain_name>: Authenticated to Kerberos v5 - 查詢票據資訊:klist
# klist Ticket cache: KEYRING:persistent:0:0 Default principal: <domain_user_name>@<domain_name> Valid starting Expires Service principal 07/31/2019 05:57:36 07/31/2019 15:57:36 cifs/<smb_filesystem_mount_point>@<domain_name> renew until 08/07/2019 05:57:32 - 用域使用者身份挂載阿裡雲檔案系統。注意,需要指明安全認證協定為krb5。否則使用者會以guest賬号登入。如果是比較舊的版本,需要進行第5步)
mount -t cifs //<smb_filesystem_mount_point>/myshare /mnt -o vers=2.1,sec=krb5 - 挂載檔案系統後,挂載目錄中的檔案和目錄顯示的使用者名群組是Linux本地執行挂載指令的賬号,權限為755。但是,如果通路挂載時所用的域使用者沒有權限的目錄,則會通路失敗。如下所示,testnopermission目錄是其他域使用者建立的目錄,雖然ls -l顯示有通路權限,但是其通路被SMB檔案系統的ACL所限制。
- 我們建議用windows用戶端來配置阿裡雲SMB檔案系統的acl。當然,你也可以用getcifsacl和setcifsacl指令來取得或者配置阿裡雲SMB檔案系統中的檔案或目錄的acl。
更多的關于SMB檔案系統的ACL配置資訊以及ACL規則,參考《
阿裡雲SMB協定檔案系統ACL權限控制使用指南》。
阿裡雲SMB協定檔案存儲服務基于AD域系統的使用者身份認證及通路控制的相關文章
如果要使用阿裡雲SMB協定檔案存儲服務的基于AD域系統的使用者身份認證及通路權限控制功能,請在阿裡雲檔案系統控制台打開配置該功能。具體請參考
将阿裡雲SMB協定檔案系統挂載點接入AD域。
下面是使用基于AD域系統的使用者身份認證及通路權限控制可能需要的相關知識點:
- 阿裡雲SMB協定檔案存儲服務支援基于AD域的使用者身份認證及權限通路控制介紹 ,總體介紹阿裡雲SMB協定檔案存儲服務支援基于AD域的使用者身份認證及權限通路控制的設計實作。
- Kerberos網絡身份認證協定介紹及SMB檔案系統對其的支援 ,介紹Kerberos網絡身份認證協定以及與SMB協定問系統的互動。
- 安裝并啟用Active Directory域服務與DNS服務 ,介紹如何在VPC中安裝并啟用AD域服務和DNS服務。
- 将Windows系統機器加入AD域 ,介紹如何将windows機器加入AD域。
- ,介紹如何在AD域伺服器以及阿裡雲SMB協定檔案系統中進行必要的配置來支援基于AD域的使用者身份認證及權限通路控制。
- ,介紹如何從windows用戶端以域使用者身份挂載使用阿裡雲SMB協定檔案系統。
- Linux用戶端以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統 ,介紹如何從Linux用戶端以域使用者身份挂載使用阿裡雲SMB協定檔案系統。
- 加入AD域的Linux用戶端以AD域身份自動挂載阿裡雲SMB協定檔案系統 ,介紹如何把Linux用戶端加入AD域,如何挂載以及自動挂載阿裡雲SMB協定檔案系統。
- ,介紹如何正确地配置阿裡雲SMB協定檔案系統的ACL以及相應的規則描述。
- 阿裡雲SMB協定檔案系統AD身份認證和ACL權限控制使用場景 - Home Directory / User Profile ,介紹使用權限控制的域使用者Home Directory以及User Profile兩個場景下的相關配置及實作。
- MacOS用戶端連接配接阿裡雲NAS SMB檔案系統 ,介紹如何從MacOS用戶端挂載使用阿裡雲SMB協定檔案系統。