全部产品
Search

搜索本产品

    File Storage NAS:Gabungkan titik pemasangan sistem file SMB ke domain AD

    文档中心

    File Storage NAS:Gabungkan titik pemasangan sistem file SMB ke domain AD

    更新时间:Nov 10, 2025

    Menggabungkan titik pemasangan sistem file Blok Pesan Server (SMB) ke Direktori Aktif (AD) memungkinkan Anda menggunakan AD untuk mengautentikasi dan mengontrol akses pengguna ke sistem file SMB. Untuk menggunakan identitas AD dalam memasang sistem file SMB, Anda harus mendaftarkan principal layanan untuk sistem file tersebut di domain AD, membuat berkas keytab, lalu mengunggahnya ke konsol NAS. Setelah itu, Anda dapat mengaktifkan fitur daftar kontrol akses (ACL) untuk sistem file SMB.

    Prasyarat

    Sistem file SMB harus telah dibuat. Untuk informasi selengkapnya, lihat Buat sistem file SMB.

    Langkah 1: Buat berkas keytab

    Anda dapat membuat berkas keytab dengan salah satu cara berikut:

    Buat berkas keytab secara otomatis

    1. Login ke instance Elastic Compute Service (ECS) tempat Anda akan menginstal Active Directory Domain Services (AD DS) dan DNS.

    2. Jalankan perintah berikut di PowerShell atau PowerShell ISE untuk mengunduh skrip.

      Invoke-WebRequest https://nas-client-tools.oss-cn-hangzhou.aliyuncs.com/windows_client/alinas_smb_windows_inspection.ps1 -OutFile alinas_smb_windows_inspection.ps1

    3. Ubah metode enkripsi dalam skrip alinas_smb_windows_inspection.ps1 menjadi -crypto RC4-HMAC-NT (khusus untuk Windows Server 2025).

      Langkah ini hanya berlaku untuk lingkungan Windows Server 2025. Jika Anda menggunakan versi lain, lanjutkan ke Langkah 4.

      1. Gunakan Notepad untuk membuka berkas alinas_smb_windows_inspection.ps1 yang telah diunduh.

         notepad .\alinas_smb_windows_inspection.ps1

      2. Cari baris yang berisi -crypto (biasanya baris 791 dalam skrip).

      3. Ubah metode enkripsi dari -crypto All menjadi -crypto RC4-HMAC-NT.

        Sebelum modifikasi:

            $command = "ktpass -princ cifs/$MountAddress@$domainFullUpper -ptype KRB5_NT_PRINCIPAL -mapuser $SetspnNas@$domainFull -crypto All -out c:\nas-mount-target.keytab -pass tHePaSsWoRd123"

        Setelah modifikasi:

            $command = "ktpass -princ cifs/$MountAddress@$domainFullUpper -ptype KRB5_NT_PRINCIPAL -mapuser $SetspnNas@$domainFull -crypto RC4-HMAC-NT -out c:\nas-mount-target.keytab -pass tHePaSsWoRd123"

      4. Tekan Ctrl+S untuk menyimpan dan menutup berkas.

    4. Jalankan perintah berikut untuk menginstal AD DS dan DNS secara otomatis serta membuat berkas keytab.

      .\alinas_smb_windows_inspection.ps1 -MountAddress file-system-id.region.nas.aliyuncs.com -ConfigAD $true -Userdomain "example.com" -Username "administrator" -Password "password"

      Daftar berikut menjelaskan parameter yang diperlukan. Ganti nilai parameter ini dengan nilai aktual Anda.

      • file-system-id.region.nas.aliyuncs.com adalah titik pemasangan sistem file SMB. Pada halaman File System List, Anda dapat memperoleh titik pemasangan dari kolom Titik Pemasangan dengan mengklik ikon di samping sistem file.

      • example.com: Nama domain AD yang ingin Anda buat.

      • administrator: Nama akun layanan AD.

      • password: Kata sandi logon untuk akun layanan AD.

    Penting

    Pertama kali Anda memulai domain AD setelah AD DS diinstal, server AD Windows akan me-restart secara otomatis. Setelah server AD Windows restart, sistem akan menjalankan skrip di atas lagi untuk membuat berkas keytab.

    Konfigurasi berkas keytab secara manual

    1. Instal dan aktifkan AD DS dan DNS.

    2. Login ke instance ECS tempat pengontrol AD berada.

    3. Buka Command Prompt dan jalankan perintah berikut untuk membuat akun layanan AD untuk sistem file SMB.

      dsadd user CN=<Nama akun layanan AD>,DC=<nama domain AD>,DC=com
  -samid <Nama akun layanan AD>
  -display <Deskripsi akun layanan AD>
  -pwd <Kata sandi akun layanan AD>
  -pwdneverexpires yes

      Contoh perintah:

      dsadd user CN=alinas,DC=EXAMPLE,DC=com -samid alinas -display "Alibaba Cloud NAS Service Account" -pwd tHeRd123**** -pwdneverexpires yes

      Jika akun logon adalah akun standar, administrator harus mengonfigurasi izin baca dan tulis pada ServicePrincipalName sebelum Anda membuat akun layanan untuk sistem file SMB. Sintaks perintah:

      dsacls "CN=<Nama akun layanan AD>,DC=<nama domain AD>,DC=com" /I:T /G "<Nama akun layanan AD>:RPWP;servicePrincipalName"

      Contoh perintah:

      dsacls "CN=alinas,DC=cdbptest01,DC=com" /I:T /G "alinas:RPWP;servicePrincipalName"

      RP adalah izin baca, dan WP adalah izin tulis.

    4. Jalankan perintah berikut untuk mendaftarkan principal layanan untuk titik pemasangan sistem file SMB dan menambahkannya ke AD:

      • Jalankan perintah

        setspn -S cifs/<Titik pemasangan sistem file NAS protokol SMB> <Nama akun layanan AD>

        Contoh perintah

        setspn -S cifs/****-****.cn-hangzhou.nas.aliyuncs.com alinas
        Catatan

        • Format titik pemasangan adalah file-system-id.region.nas.aliyuncs.com. Ganti ini dengan titik pemasangan aktual Anda. Untuk memperoleh titik pemasangan, buka halaman File System List di konsol Penyimpanan File NAS, temukan sistem file tersebut, lalu klik Manage. Titik pemasangan ditampilkan pada halaman Mount Usage.

        • Jangan tambahkan direktori pemasangan ke titik pemasangan. Misalnya, jangan gunakan file-system-id.region.nas.aliyuncs.com/myshare.

      • Contoh keluaran perintah

        Jika ditampilkan keluaran yang mirip seperti berikut, principal layanan untuk sistem file SMB telah ditambahkan.1

    5. Periksa konfigurasi setspn di server AD Windows atau klien Windows.

      Jalankan perintah

      setspn alinas

      Jika keluaran perintah berisi titik pemasangan sistem file SMB, konfigurasi setspn sudah benar.spn配置

    6. Di server domain AD, buka Command Prompt. Kemudian, jalankan perintah berikut untuk membuat berkas keytab untuk titik pemasangan sistem file SMB:

      • Untuk Windows Server 2022 dan versi sebelumnya

        ktpass
  -princ cifs/<Titik pemasangan sistem file SMB>@<Domain AD>
  -ptype KRB5_NT_PRINCIPAL
  -crypto All
  -out <Jalur berkas keytab>
  -pass <Kata sandi akun layanan AD>

        Contoh perintah:

        ktpass -princ cifs/****-****.cn-hangzhou.nas.aliyuncs.com@EXAMPLE.com -ptype KRB5_NT_PRINCIPAL -crypto All -out c:\nas-mount-target.keytab -pass tHeP****d123

      • Untuk Windows Server 2025

        Karena Windows Server 2025 tidak mendukung Data Encryption Standard (DES), Anda harus mengubah parameter -crypto ALL menjadi -crypto RC4-HMAC-NT saat membuat berkas keytab.

        ktpass
  -princ cifs/<Titik pemasangan sistem file SMB>@<Domain AD>
  -ptype KRB5_NT_PRINCIPAL
  -crypto RC4-HMAC-NT
  -out <Jalur berkas keytab>
  -pass <Kata sandi akun layanan AD>

        Contoh perintah:

        ktpass -princ cifs/****-****.cn-hangzhou.nas.aliyuncs.com@EXAMPLE.com -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT -out c:\nas-mount-target.keytab -pass tHeP****d123

      Untuk informasi selengkapnya tentang cara memverifikasi kebenaran berkas keytab, lihat Bagaimana cara memverifikasi kebenaran berkas keytab?

    Untuk informasi selengkapnya tentang cara mengunduh berkas keytab ke server lokal, lihat Gunakan Workbench untuk mengunggah, mengunduh, atau mengelola berkas di instance ECS.

    Langkah 2: Unggah berkas keytab

    Di konsol NAS, unggah berkas keytab untuk akun layanan AD yang telah Anda buat untuk sistem file SMB.

    1. Login ke konsol NAS.

    2. Di panel navigasi sebelah kiri, pilih File System > File System List.

    3. Pada halaman File System List, klik ID sistem file yang ingin Anda kelola atau klik Manage di kolom Tindakan.

    4. Pada tab Access Control, klik Enable.

    5. Di kotak dialog Enable SMB ACL, unggah berkas keytab untuk akun layanan AD dan klik OK.

      开启SMBACL

    6. Pada tab Access Control, klik Modify Configuration.

    7. Di kotak dialog Modify Configuration, konfigurasikan parameter-parameter berikut. Tabel berikut menjelaskan parameter tersebut.

      修改SMBACL

      Penting

      Fitur enkripsi-dalam-transit hanya dapat diaktifkan pada sistem operasi yang mendukung SMB 3.0 atau versi lebih baru. Untuk informasi selengkapnya tentang sistem operasi mana saja yang mendukung SMB 3.0 atau versi lebih baru, lihat Sistem operasi klien yang mendukung SMB 3.0 dan versi lebih baru.

      Parameter

      Deskripsi

      Izinkan Akses Anonim

      Menentukan apakah akses anonim ke sistem file diizinkan. Nilai yang valid:

      • Ya: Akun yang termasuk dalam grup Everyone dapat digunakan untuk memasang sistem file SMB berdasarkan New Technology LAN Manager (NTLM). ACL yang dikonfigurasi untuk file dan direktori dalam sistem file SMB tetap berlaku.

      • Tidak (default): Pengguna anonim tidak diizinkan mengakses sistem file.

      Aktifkan Enkripsi dalam Transit

      Menentukan apakah fitur enkripsi dalam transit diaktifkan untuk sistem file SMB. Nilai yang valid:

      • Ya: Mengaktifkan fitur enkripsi dalam transit untuk sistem file SMB.

      • Tidak (default): Menonaktifkan fitur enkripsi dalam transit untuk sistem file SMB.

      Untuk informasi selengkapnya, lihat Enkripsi dalam transit untuk sistem file SMB.

      Tolak Akses dari Klien Non-terenkripsi

      Menentukan jenis klien yang dapat mengakses sistem file SMB. Nilai yang valid:

      • Yes: Anda dapat memasang sistem file SMB menggunakan klien yang telah mengaktifkan fitur enkripsi dalam transit. Artinya, Anda dapat menggunakan pengguna domain AD untuk memasang sistem file SMB pada klien yang sistem operasinya mendukung fitur enkripsi dalam transit.

        Namun, Anda tidak dapat memasang sistem file SMB sebagai pengguna anonim atau menggunakan klien yang tidak mendukung fitur enkripsi dalam transit.

      • No: Anda dapat memasang sistem file SMB dari semua jenis klien. Namun, fitur enkripsi dalam transit hanya dapat diaktifkan jika Anda menggunakan pengguna domain AD untuk memasang sistem file SMB pada klien yang sistem operasinya mendukung fitur enkripsi dalam transit.

      Berkas Keytab

      Unggah berkas keytab.

      Superuser

      Superuser dapat mengelola semua file di folder apa pun tanpa perlu mengubah ACL yang ada. Anda dapat mengonfigurasi pengguna atau grup audiens sebagai superuser. Saat melakukan konfigurasi, nilainya harus dalam format ID sistem (SID), misalnya, S-1-5-32-544. Secara default, parameter ini dibiarkan kosong.

      Direktori Home Pengguna

      Direktori home setiap pengguna. Misalnya, jika direktori home pengguna adalah \home, sistem file akan secara otomatis membuat direktori bernama \home\A ketika pengguna bernama A login. Jika direktori \home\A sudah ada, sistem file akan melewati langkah ini. Secara default, parameter ini dibiarkan kosong.

      Penting

      Pengguna A harus memiliki izin untuk membuat folder di direktori \home. Jika tidak, sistem tidak dapat membuat direktori \home\A saat Pengguna A login ke sistem.

      Penting

      Jika sistem file SMB telah dipasang pada klien, Anda harus memasang ulang sistem file agar konfigurasi baru berlaku.

    Langkah selanjutnya

    Setelah titik pemasangan bergabung ke domain AD, Anda dapat menggunakan identitas AD untuk memasang dan menggunakan sistem file SMB. Untuk informasi selengkapnya, lihat Pasang dan gunakan sistem file SMB di klien Windows sebagai pengguna domain AD dan Pasang dan gunakan sistem file SMB di klien Linux sebagai pengguna domain AD.