Dengan menggabungkan titik pemasangan sistem file Server Message Block (SMB) ke domain Active Directory (AD), Anda dapat mengelola otentikasi pengguna dan kontrol akses tingkat file dalam domain AD. Untuk memasang dan menggunakan sistem file SMB sebagai pengguna domain AD, Anda harus mendaftarkan principal layanan untuk sistem file tersebut di domain AD, menghasilkan file keytab, dan mengunggahnya ke Konsol NAS guna mengaktifkan fitur SMB ACL.
Prasyarat
Anda telah membuat sistem file SMB. Untuk informasi selengkapnya, lihat Buat sistem file SMB.
Langkah 1: Hasilkan file keytab
Anda dapat menghasilkan file keytab dengan salah satu metode berikut:
Pembuatan otomatis
-
Login ke Instance ECS yang akan menjalankan controller domain AD dan layanan DNS.
-
Di PowerShell atau PowerShell ISE, jalankan perintah berikut untuk mengunduh skrip.
Invoke-WebRequest https://nas-client-tools.oss-cn-hangzhou.aliyuncs.com/windows_client/alinas_smb_windows_inspection.ps1 -OutFile alinas_smb_windows_inspection.ps1 -
Ubah metode enkripsi dalam skrip
alinas_smb_windows_inspection.ps1menjadi-crypto RC4-HMAC-NT(khusus untuk Windows Server 2025).Langkah ini hanya diperlukan untuk Windows Server 2025. Jika Anda menggunakan versi sebelumnya, lewati ke langkah 4.
-
Buka file
alinas_smb_windows_inspection.ps1yang telah diunduh di Notepad.notepad .\alinas_smb_windows_inspection.ps1 -
Cari baris yang berisi
-crypto(biasanya baris 791). -
Ubah metode enkripsi dari
-crypto Allmenjadi-crypto RC4-HMAC-NT.Sebelum:
$command = "ktpass -princ cifs/$MountAddress@$domainFullUpper -ptype KRB5_NT_PRINCIPAL -mapuser $SetspnNas@$domainFull -crypto All -out c:\nas-mount-target.keytab -pass tHePaSsWoRd123"Sesudah:
$command = "ktpass -princ cifs/$MountAddress@$domainFullUpper -ptype KRB5_NT_PRINCIPAL -mapuser $SetspnNas@$domainFull -crypto RC4-HMAC-NT -out c:\nas-mount-target.keytab -pass tHePaSsWoRd123" -
Tekan Ctrl+S untuk menyimpan dan menutup file.
-
-
Jalankan perintah berikut untuk secara otomatis menginstal layanan controller domain AD dan layanan DNS, serta menghasilkan file keytab.
.\alinas_smb_windows_inspection.ps1 -MountAddress file-system-id.region.nas.aliyuncs.com -ConfigAD $true -Userdomain "example.com" -Username "administrator" -Password "password"Daftar berikut menjelaskan parameter utama. Ganti nilai contoh dengan informasi aktual Anda.
-
file-system-id.region-id.nas.aliyuncs.com: Alamat titik pemasangan sistem file SMB. Di halaman File System List, klik Manage untuk sistem file target, lalu buka halaman Mount & Use untuk mendapatkan alamat titik pemasangan.
-
example.com: Domain AD yang ingin Anda siapkan.
-
administrator: Nama akun layanan AD.
-
password: Kata sandi logon untuk akun layanan AD.
-
Ketika Anda menjalankan skrip untuk pertama kalinya guna menginstal layanan domain AD dan memulai domain AD, server AD Windows akan restart. Setelah restart, jalankan kembali skrip tersebut untuk menyelesaikan pembuatan file keytab.
Konfigurasi manual
-
Instal dan aktifkan layanan domain AD serta layanan DNS.
-
Login ke Instance ECS yang menjalankan controller domain AD.
-
Buka jendela Command Prompt dan jalankan perintah berikut untuk membuat akun layanan bagi sistem file SMB.
dsadd user CN=<AD_service_account_name>,DC=<AD_domain_name>,DC=com -samid <AD_service_account_name> -display <user_description> -pwd <user_password> -pwdneverexpires yesContoh:
dsadd user CN=alinas,DC=EXAMPLE,DC=com -samid alinas -display "Alibaba Cloud NAS Service Account" -pwd tHeRd123**** -pwdneverexpires yesJika Anda login sebagai pengguna standar, administrator harus memberikan izin baca dan tulis pada atribut
servicePrincipalNamekepada akun Anda sebelum Anda dapat membuat akun layanan. Untuk memberikan izin tersebut, jalankan perintah berikut:dsacls "CN=<AD_service_account_name>,DC=<AD_domain_name>,DC=com" /I:T /G "<AD_service_account_name>:RPWP;servicePrincipalName"Contoh:
dsacls "CN=alinas,DC=cdbptest01,DC=com" /I:T /G "alinas:RPWP;servicePrincipalName"Di sini,
RPadalah izin baca, danWPadalah izin tulis. -
Jalankan perintah berikut untuk mendaftarkan principal layanan bagi titik pemasangan sistem file SMB.
-
Jalankan perintah:
setspn -S cifs/<mount_target_address_of_SMB_file_system> <AD_service_account_name>Contoh:
setspn -S cifs/****-****.cn-hangzhou.nas.aliyuncs.com alinasCatatan-
Alamat titik pemasangan memiliki format
file-system-id.region-id.nas.aliyuncs.com. Ganti placeholder dengan nilai aktual Anda. Di Konsol Apsara File Storage NAS, pada halaman File System List, klik Manage untuk sistem file target, lalu buka halaman Mount & Use untuk mendapatkan alamat titik pemasangan. -
Jangan sertakan direktori pemasangan dalam alamat titik pemasangan, seperti
file-system-id.region.nas.aliyuncs.com/myshare.
-
-
Contoh output
Output yang mirip dengan berikut menunjukkan bahwa principal layanan untuk titik pemasangan sistem file SMB berhasil ditambahkan.
C:\Users\Administrator>setspn -S cifs/xxx.nas.aliyuncs.com alinas Checking domain DC=smb-hk,DC=com Registering ServicePrincipalNames for CN=alinas,DC=smb-hk,DC=com cifs/xxx.nas.aliyuncs.com Updated object C:\Users\Administrator>
-
-
Periksa konfigurasi setspn di server AD Windows atau klien Windows.
Jalankan perintah:
setspn alinasJika output mencakup titik pemasangan sistem file, maka setspn telah dikonfigurasi dengan benar di server AD Windows atau klien Windows.
C:\Users\Administrator\Desktop>setspn alinas Registered ServicePrincipalNames for CN=alinas,DC=smbmock60,DC=com: cifs/xxx.nas.aliyuncs.com -
Di controller domain AD, buka jendela Command Prompt dan jalankan perintah berikut untuk menghasilkan file keytab bagi titik pemasangan sistem file SMB.
PentingParameter
-princbersifat case-sensitive, dan nilai untuk parameter<AD domain>harus dalam huruf kapital semua.-
Untuk Windows Server 2022 dan versi sebelumnya
ktpass -princ cifs/<SMB_file_system_mount_target_address>@<AD_domain> -ptype KRB5_NT_PRINCIPAL -mapuser <AD_service_account_name>@<AD_domain> -crypto All -out <path_of_the_generated_keytab_file> -pass <user_password>Contoh:
ktpass -princ cifs/****-****.cn-hangzhou.nas.aliyuncs.com@EXAMPLE.COM -ptype KRB5_NT_PRINCIPAL -mapuser alinas@example.com -crypto All -out c:\nas-mount-target.keytab -pass tHeP****d123 -
Untuk Windows Server 2025
Windows Server 2025 tidak mendukung Data Encryption Standard (DES). Oleh karena itu, Anda harus mengubah parameter
-crypto Allmenjadi-crypto RC4-HMAC-NTsaat menghasilkan file keytab.ktpass -princ cifs/<SMB_file_system_mount_target_address>@<AD_domain> -ptype KRB5_NT_PRINCIPAL -mapuser <AD_service_account_name>@<AD_domain> -crypto RC4-HMAC-NT -out <path_of_the_generated_keytab_file> -pass <user_password>Contoh:
ktpass -princ cifs/****-****.cn-hangzhou.nas.aliyuncs.com@EXAMPLE.COM -ptype KRB5_NT_PRINCIPAL -mapuser alinas@example.com -crypto RC4-HMAC-NT -out c:\nas-mount-target.keytab -pass tHeP****d123
Untuk memverifikasi file keytab, lihat Bagaimana cara memverifikasi file keytab?.
-
Untuk mengunduh file keytab ke komputer lokal, lihat Gunakan Workbench untuk mengunggah, mengunduh, atau mengelola file pada Instance ECS.
Langkah 2: Unggah file keytab
Di Konsol NAS, unggah file keytab untuk akun layanan Apsara File Storage NAS.
-
Login ke Konsol NAS.
-
Di panel navigasi sebelah kiri, pilih .
-
Di halaman File System List, klik ID sistem file target atau klik Manage di kolom Actions.
-
Di tab Access Control, klik Enable.
-
Di kotak dialog Enable SMB ACL, unggah file keytab untuk akun layanan Apsara File Storage NAS, lalu klik OK.
Catatan: Jika klien telah memasang sistem file, Anda harus memasang ulang agar perubahan berlaku.
-
Di tab Access Control, klik Modify Configuration.
-
Di kotak dialog Modify Configuration, konfigurasikan parameter sesuai deskripsi dalam tabel berikut.
PentingEnkripsi transport hanya didukung pada sistem operasi yang menggunakan SMB 3.0 atau versi lebih baru. Untuk informasi selengkapnya tentang sistem operasi yang didukung, lihat Sistem operasi klien yang mendukung protokol SMB 3.0 dan versi lebih baru.
Parameter
Deskripsi
allow anonymous access
Menentukan apakah akses anonim ke sistem file diizinkan. Nilai yang valid:
-
Yes: Mengizinkan siapa pun memasang sistem file menggunakan NTLM. Setelah pemasangan, identitas pengguna adalah Everyone, tetapi ACL yang dikonfigurasi tetap berlaku.
-
No (default): Mencegah pengguna anonim mengakses sistem file.
enable transport encryption
Menentukan apakah enkripsi transport untuk sistem file SMB diaktifkan. Nilai yang valid:
-
Yes: Mengaktifkan enkripsi transport untuk sistem file SMB.
-
No (default): Menonaktifkan enkripsi transport untuk sistem file SMB.
Untuk informasi selengkapnya, lihat Enkripsi transport untuk sistem file SMB.
deny non-encrypted clients
Menentukan jenis klien yang dapat mengakses sistem file SMB. Nilai yang valid:
Yes: Pasang sistem file SMB menggunakan klien yang telah mengaktifkan fitur enkripsi dalam transit. Artinya, Anda dapat menggunakan pengguna domain AD untuk memasang sistem file SMB pada klien yang sistem operasinya mendukung fitur enkripsi dalam transit.
Namun, Anda tidak dapat memasang sistem file SMB sebagai pengguna anonim atau menggunakan klien yang tidak mendukung fitur enkripsi dalam transit.
No: Pasang sistem file SMB dari semua jenis klien. Namun, fitur enkripsi dalam transit hanya dapat diaktifkan jika Anda menggunakan pengguna domain AD untuk memasang sistem file SMB pada klien yang sistem operasinya mendukung fitur enkripsi dalam transit.
keytab file
Unggah file keytab.
super admin
Super admin dapat melakukan operasi pada file apa pun di folder mana pun tanpa mengubah ACL. Anda dapat mengonfigurasi pengguna atau kelompok sebagai super admin. Nilainya harus dalam format Security Identifier (SID), seperti S-1-5-32-544. Nilai default: kosong.
user home directory
Jalur utama untuk direktori home setiap pengguna. Misalnya, jika Anda mengatur nilai ini ke
\home, sistem file secara otomatis membuat direktori\home\Aketika Pengguna A login. Jika\home\Asudah ada, tindakan ini dilewati. Nilai default: kosong.PentingPengguna A harus memiliki izin untuk membuat direktori di direktori
\home. Jika tidak, direktori\home\Atidak dapat dibuat.PentingJika klien telah memasang sistem file SMB, Anda harus memasang ulang agar perubahan pada akun layanan domain AD berlaku.
-
Langkah selanjutnya
Setelah menggabungkan titik pemasangan sistem file SMB ke domain AD, Anda dapat memasang dan menggunakan sistem file SMB sebagai pengguna domain AD. Untuk informasi selengkapnya, lihat Pasang dan gunakan sistem file SMB sebagai pengguna domain AD di klien Windows dan Pasang dan gunakan sistem file SMB sebagai pengguna domain AD di klien Linux.