Mount an SMB file system on Linux with an AD domain account - File Storage NAS - Alibaba Cloud - File Storage NAS

Topik ini menjelaskan cara memasang sistem file SMB pada klien Linux sebagai pengguna domain AD, mengakses sistem file tersebut, serta mengelola Access Control Lists (ACLs) untuk file dan direktorinya setelah pemasangan.

Prasyarat

Titik pemasangan sistem file SMB telah ditambahkan ke domain AD. Untuk informasi selengkapnya, lihat Menambahkan Titik Pemasangan Sistem File SMB ke Domain AD.
Gunakan versi sistem operasi Linux yang kompatibel dengan sistem file SMB. Untuk informasi selengkapnya, lihat Batasan dan Image Kernel yang Direkomendasikan.

Latar Belakang

Sebelum titik pemasangan sistem file SMB ditambahkan ke domain AD, Anda hanya dapat memasang dan menggunakan sistem file tersebut sebagai pengguna anonim. Setelah titik pemasangan ditambahkan ke domain AD, Anda dapat memilih apakah akan tetap mengizinkan akses dari pengguna anonim atau tidak.

Jika Anda tetap mengizinkan akses anonim, klien dapat menggunakan otentikasi Kerberos untuk mengakses sistem file dengan identitas domain, atau menggunakan otentikasi NTLM untuk mengaksesnya sebagai anggota grup Everyone.
Jika akses anonim tidak diizinkan, hanya klien Linux yang menggunakan protokol otentikasi Kerberos yang dapat memasang sistem file tersebut sebagai pengguna domain AD.

Prosedur berikut menggunakan Ubuntu dan CentOS sebagai contoh untuk menunjukkan cara memasang dan mengakses sistem file SMB sebagai pengguna domain AD.

Metode 1: Pasang pada klien yang telah bergabung ke domain

Gabungkan klien Linux ke domain AD.

Ubuntu

Instal paket konfigurasi AD.

sudo apt-get update

sudo apt-get -y install realmd libnss-sss libpam-sss sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit krb5-user

Tetapkan hostname untuk klien Linux dalam domain AD.

sudo hostnamectl set-hostname myubuntu.example-company.com

Dalam perintah tersebut, ganti example-company.com dengan nama domain AD Anda.

Setelah konfigurasi selesai, jalankan perintah hostnamectl untuk memverifikasi hostname klien.

user1@myubuntu:/home$ sudo hostnamectl set-hostname myubuntu.example-company.com
user1@myubuntu:/home$ hostnamectl
   Static hostname: myubuntu.example-company.com
         Icon name: computer-vm
           Chassis: vm
        Machine ID: 20210623112404781463487467590001
           Boot ID: 0702ff766c504355a16f9b27e467a6f6
    Virtualization: kvm
  Operating System: Ubuntu 20.04.2 LTS
            Kernel: Linux 5.4.0-77-generic
      Architecture: x86-64
user1@myubuntu:/home$

Konfigurasikan DNS.

Jalankan perintah berikut untuk menghentikan pembaruan DNS otomatis.

sudo systemctl disable systemd-resolved
sudo systemctl stop systemd-resolved

Tambahkan alamat IP server AD ke file /etc/resolv.conf.

# Generated by NetworkManager
search example-company.com
nameserver 172.19.0.61

Jalankan perintah ping untuk melakukan ping ke nama server AD dan verifikasi konektivitas.

user1@myubuntu:/home$ ping example-company.com
PING example-company.com (172.19.0.61) 56(84) bytes of data.
64 bytes from 172.19.0.61 (172.19.0.61): icmp_seq=1 ttl=128 time=0.274 ms
64 bytes from 172.19.0.61 (172.19.0.61): icmp_seq=2 ttl=128 time=0.289 ms
64 bytes from 172.19.0.61 (172.19.0.61): icmp_seq=3 ttl=128 time=0.270 ms
64 bytes from 172.19.0.61 (172.19.0.61): icmp_seq=4 ttl=128 time=0.273 ms
^C
--- example-company.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3073ms
rtt min/avg/max/mdev = 0.270/0.276/0.289/0.007 ms

Temukan domain AD.

realm discover <AD domain>

user1@myubuntu:/home$ realm discover example-company.com
example-company.com
  type: kerberos
  realm-name: EXAMPLE-COMPANY.COM
  domain-name: example-company.com
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli
  required-package: samba-common-bin
  login-formats: %U@example-company.com
  login-policy: allow-realm-logins

Gabungkan klien Linux ke domain AD.

sudo kinit Administrator@EXAMPLE-COMPANY.COM
sudo realm join -U Administrator example-company.com

Jalankan perintah realm list. Jika outputnya mirip seperti berikut, klien Linux telah berhasil bergabung ke domain AD.

user1@myubuntu:/home$ realm list
example-company.com
  type: kerberos
  realm-name: EXAMPLE-COMPANY.COM
  domain-name: example-company.com
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli
  required-package: samba-common-bin
  login-formats: %U@example-company.com
  login-policy: allow-realm-logins

Konfigurasikan pembuatan direktori home secara otomatis saat login pengguna domain AD.

Konfigurasikan direktori home.

sudo bash -c "cat > /usr/share/pam-configs/mkhomedir" <<EOF
Name: activate mkhomedir
Default: yes
Priority: 900
Session-Type: Additional
Session:
        required                        pam_mkhomedir.so umask=0022 skel=/etc/skel
EOF

Jalankan perintah berikut untuk menerapkan konfigurasi.
```
pam-auth-update
```

Setelah perintah dijalankan, gunakan tombol panah dan Spacebar untuk memastikan opsi activate mkhomedir dipilih (ditandai dengan tanda bintang (*)). Lalu, tekan tombol Tab untuk berpindah ke Ok dan tekan Enter.

Pluggable Authentication Modules (PAM) determine how authentication, authorization, and password changing are handled on the
system, as well as allowing configuration of additional actions to take when starting user sessions.
Some PAM module packages provide profiles that can be used to automatically adjust the behavior of all PAM-using applications
on the system.  Please indicate which of these behaviors you wish to enable.
PAM profiles to enable:
    [*] Pwquality password strength checking
    [*] activate mkhomedir
    [*] Unix authentication
    [*] SSS authentication
    [*] Register user sessions in the systemd control group hierarchy
    [*] Inheritable Capabilities Management
                    <Ok>                        <Cancel>

Konfigurasikan layanan sssd Linux.

Dalam file konfigurasi /etc/sssd/sssd.conf, tambahkan baris krb5_ccname_template=FILE:%d/krb5cc_%U.

[sssd]
domains = example-company.com
config_file_version = 2
services = nss, pam
[domain/example-company.com]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = EXAMPLE-COMPANY.COM
realmd_tags = manages-system joined-with-adcli
id_provider = ad
fallback_homedir = /home/%u@%d
ad_domain = example-company.com
use_fully_qualified_names = True
ldap_id_mapping = True
access_provider = ad
krb5_ccname_template=FILE:%d/krb5cc_%U

Jalankan perintah berikut untuk restart layanan sssd dan periksa statusnya.

sudo systemctl restart sssd
sudo systemctl status sssd

Output yang mirip seperti berikut menunjukkan bahwa layanan sssd telah dikonfigurasi dengan sukses.

root@iZrj90myfgaf70i4jqsmr9Z:~# systemctl status sssd
● sssd.service - System Security Services Daemon
   Loaded: loaded (/lib/systemd/system/sssd.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2021-03-12 14:00:21 CST; 3s ago
 Main PID: 21279 (sssd)
    Tasks: 4 (limit: 9315)
   Memory: 42.2M
   CGroup: /system.slice/sssd.service
           ├─21279 /usr/sbin/sssd -i --logger=files
           ├─21300 /usr/libexec/sssd/sssd_be --domain example.com --uid 0 --gid 0 --logger=files
           ├─21301 /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --logger=files
           └─21302 /usr/libexec/sssd/sssd_pam --uid 0 --gid 0 --logger=files

CentOS

Instal paket konfigurasi AD.

sudo yum update
sudo yum install sssd realmd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation openldap-clients policycoreutils-python-utils -y

Tetapkan hostname untuk klien Linux dalam domain AD.

sudo hostnamectl set-hostname mycentos.example-company.com

Dalam perintah tersebut, ganti example-company.com dengan nama domain AD Anda.

Setelah konfigurasi selesai, jalankan perintah hostnamectl untuk memverifikasi hostname klien.

[user1@mycentos root]$ sudo hostnamectl set-hostname mycentos.example-company.com
[user1@mycentos root]$ hostnamectl
   Static hostname: mycentos.example-company.com
         Icon name: computer-vm
           Chassis: vm
        Machine ID: 20210623110808105647395700239158
           Boot ID: e8fded82c87f4fe783e3c75263c854d9
    Virtualization: kvm
  Operating System: CentOS Linux 8
       CPE OS Name: cpe:/o:centos:centos:8
            Kernel: Linux 4.18.0-305.12.1.el8_4.x86_64
      Architecture: x86-64

Konfigurasikan DNS.

Tuliskan alamat IP server AD ke /etc/resolv.conf dan hapus server DNS default. Jalankan perintah ping: ping nama server AD untuk memverifikasi konektivitas.

[user1@mycentos root]$ ping example-company.com
PING example-company.com (172.19.0.61) 56(84) bytes of data.
64 bytes from 172.19.0.61 (172.19.0.61): icmp_seq=1 ttl=128 time=0.221 ms
64 bytes from 172.19.0.61 (172.19.0.61): icmp_seq=2 ttl=128 time=0.334 ms
64 bytes from 172.19.0.61 (172.19.0.61): icmp_seq=3 ttl=128 time=0.314 ms
64 bytes from 172.19.0.61 (172.19.0.61): icmp_seq=4 ttl=128 time=0.323 ms
^C
--- example-company.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3044ms
rtt min/avg/max/mdev = 0.221/0.298/0.334/0.045 ms

Konfigurasikan Kerberos.

Tambahkan baris-baris berikut ke file konfigurasi /etc/krb5.conf.

    default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
    default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
    permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

# To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/
[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
    spake_preauth_groups = edwards25519
#    default_realm = EXAMPLE.COM
    default_ccache_name = KEYRING:persistent:%{uid}
    default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
    default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
    permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
[realms]
# EXAMPLE.COM = {
#     kdc = kerberos.example.com
#     admin_server = kerberos.example.com
# }
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM

Temukan domain AD.

realm discover example-company.com

[user1@mycentos root]$ realm discover example-company.com
example-company.com
  type: kerberos
  realm-name: EXAMPLE-COMPANY.COM
  domain-name: example-company.com
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd
  required-package: adcli
  required-package: samba-common-tools

Gabungkan klien Linux ke domain AD.

sudo realm join -U Administrator example-company.com

Jalankan perintah realm list. Jika outputnya mirip seperti berikut, klien Linux telah berhasil bergabung ke domain AD.

[user1@mycentos root]$ realm list
example-company.com
  type: kerberos
  realm-name: EXAMPLE-COMPANY.COM
  domain-name: example-company.com
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd
  required-package: adcli
  required-package: samba-common-tools
  login-formats: %U@example-company.com
  login-policy: allow-realm-logins

Jalankan perintah id untuk memeriksa status pengguna domain AD.

id testuser@example-company.com

Output yang mirip seperti berikut menunjukkan bahwa pengguna domain AD telah teridentifikasi dengan benar.

[user1@mycentos root]$ id usera1@example-company.com
uid=371801107(usera1@example-company.com) gid=371800513(domain users@example-company.com) groups=371800513(domain users@example-company.com)

Berikan izin login kepada pengguna domain AD.

Berikan izin login kepada pengguna tertentu.

sudo realm permit usera1@example-company.com
sudo realm permit userb1@example-company.com userb2@example-company.com

Berikan izin login kepada grup tertentu.

sudo realm permit -g 'Security Users'
sudo realm permit -g 'Domain Users' 'Domain Admins'

Berikan izin login kepada semua pengguna.
```
sudo realm permit --all
```
Tolak izin login untuk semua pengguna.
```
sudo realm deny --all
```

Tambahkan izin sudo untuk pengguna domain AD.
Jalankan perintah berikut untuk membuka file konfigurasi sudo, lalu tambahkan izin sudo sesuai kebutuhan.
```
sudo vim /etc/sudoers.d/domain_admins
```
- Tambahkan izin sudo untuk pengguna tertentu.
```
usera1@example-company.com     ALL=(ALL)   ALL
userb2@example-company.com     ALL=(ALL)   ALL
```
- Tambahkan izin sudo untuk grup tertentu.
```
%admingroupc1@example-company.com     ALL=(ALL)   ALL
```
- Tambahkan izin sudo untuk grup yang namanya terdiri dari beberapa kata.
```
%domain\ admins@example-company.com       ALL=(ALL)       ALL
```
Konfigurasikan login SSH.
1. Buka file konfigurasi /etc/ssh/sshd_config dan ubah pengaturan login sebagai berikut:
```
PasswordAuthentication yes
```
2. Jalankan perintah sesuai sistem operasi Anda untuk restart layanan SSHD.
  - CentOS
```
service sshd restart
```
  - Ubuntu
```
service ssh restart
```

ssh localhost -l usera1@example-company.com

Output yang mirip seperti berikut menunjukkan bahwa Anda telah berhasil login ke klien Linux sebagai pengguna domain AD.

[user1@mycentos root]$ ssh localhost -l usera1@example-company.com
The authenticity of host 'localhost (127.0.0.1)' can't be established.
ECDSA key fingerprint is SHA256:t/sEr63muG4UvBiAODXW9cHuMDBUlWUXO3cQ4xxmN78.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.
usera1@example-company.com@localhost's password:
Welcome to Alibaba Cloud Elastic Compute Service !
Activate the web console with: systemctl enable --now cockpit.socket

Pasang sistem file SMB.

Instal alat pemasangan yang diperlukan.

Ubuntu

sudo apt-get install keyutils cifs-utils

CentOS
```
sudo yum install keyutils cifs-utils
```

Kueri informasi pengguna dan tiket.

Jalankan perintah id dan klist untuk melihat informasi UID, GID, dan tiket pengguna saat ini.

[usera1@example-company.com@mycentos ~]$ klist
Ticket cache: KCM:371801107:64031
Default principal: usera1@EXAMPLE-COMPANY.COM
Valid starting       Expires              Service principal
08/31/2021 07:56:42  08/31/2021 17:56:42  krbtgt/EXAMPLE-COMPANY.COM@EXAMPLE-COMPANY.COM
        renew until 09/07/2021 07:56:42
[usera1@example-company.com@mycentos ~]$ id
uid=371801107(usera1@example-company.com) gid=371800513(domain users@example-company.com) groups=371800513(domain users@example-company.com),371801110(groupa@example-company.com)

Jalankan perintah berikut untuk memasang sistem file.
```
sudo mount -t cifs //205dee4****-uub48.us-west-1.nas.aliyuncs.com/myshare /mnt -o vers=2.1,sec=krb5,cruid=371801107,uid=371801107,gid=371800513  --verbose
```
Ganti 205dee4****-uub48.us-west-1.nas.aliyuncs.com dengan alamat titik pemasangan sistem file Anda.

Catatan
Jika Anda memilih Enable Encryption in Transit di Konsol NAS, Anda harus menggunakan opsi vers=3.0 untuk memasang sistem file.

Konfigurasikan pemasangan otomatis.

Untuk memasang sistem file secara otomatis setelah klien Linux di-restart, konfigurasikan pemasangan otomatis.
1. Dalam file konfigurasi /etc/auto.master, tambahkan baris berikut:
```
/share    /etc/auto.cifs    --timeout=30 --ghost
```
2. Ubah file konfigurasi /etc/auto.cifs seperti pada contoh berikut:
```
* -fstype=cifs,vers=2.1,sec=krb5,cruid=${UID},uid=${UID},gid=${GID},file_mode=0700,dir_mode=0700 ://205dee4****-uub48.us-west-1.nas.aliyuncs.com/myshare/&
```
  Daftar berikut menjelaskan parameter utama. Ganti nilainya dengan informasi aktual Anda.
  - cruid dan uid: ID pengguna lokal usera1.
  - gid: ID grup pengguna lokal usera1.
  - 205dee4****-uub48.us-west-1.nas.aliyuncs.com: Alamat titik pemasangan.
    
    Di Konsol NAS, buka halaman File System List. Temukan sistem file Anda dan klik ikon . Di daftar yang muncul, temukan kolom Mount Target dan arahkan kursor ke ikon untuk mendapatkan alamat titik pemasangan.
3. Restart layanan autofs.
```
systemctl restart autofs.service
```
4. Verifikasi konfigurasi pemasangan otomatis.
  
  Sebagai contoh, Anda membuat direktori //205dee4****-uub48.us-west-1.nas.aliyuncs.com/myshare/usera1 dan memberikan izin penuh kepada pengguna usera1.
  
  Setelah Anda login sebagai pengguna domain AD, jalankan perintah ls /share/usera1. Jika isi direktori usera1 dalam sistem file SMB ditampilkan, konfigurasi pemasangan otomatis telah berhasil.

Metode 2: Pasang pada klien yang belum bergabung ke domain

Hubungkan ke server AD.

Ubuntu

Instal paket konfigurasi AD.

sudo apt-get -y install keyutils cifs-utils krb5-user

Konfigurasikan DNS.

Jalankan perintah berikut untuk menghentikan pembaruan DNS otomatis.

sudo systemctl disable systemd-resolved
sudo systemctl stop systemd-resolved

Tambahkan alamat IP server AD ke file /etc/resolv.conf.

# Generated by NetworkManager
search example-company.com
nameserver 172.19.0.61

Jalankan perintah ping untuk melakukan ping ke nama server AD dan verifikasi konektivitas.

user1@myubuntu:/home$ ping example-company.com
PING example-company.com (172.19.0.61) 56(84) bytes of data.
64 bytes from 172.19.0.61 (172.19.0.61): icmp_seq=1 ttl=128 time=0.274 ms
64 bytes from 172.19.0.61 (172.19.0.61): icmp_seq=2 ttl=128 time=0.289 ms
64 bytes from 172.19.0.61 (172.19.0.61): icmp_seq=3 ttl=128 time=0.270 ms
64 bytes from 172.19.0.61 (172.19.0.61): icmp_seq=4 ttl=128 time=0.273 ms
^C
--- example-company.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3073ms
rtt min/avg/max/mdev = 0.270/0.276/0.289/0.007 ms

CentOS

Instal paket konfigurasi AD.

sudo yum install keyutils cifs-utils krb5-workstation

Konfigurasikan DNS.

Tuliskan alamat IP server AD ke /etc/resolv.conf dan hapus server DNS default. Jalankan perintah ping: ping nama server AD untuk memverifikasi konektivitas.

[user1@mycentos root]$ ping example-company.com
PING example-company.com (172.19.0.61) 56(84) bytes of data.
64 bytes from 172.19.0.61 (172.19.0.61): icmp_seq=1 ttl=128 time=0.221 ms
64 bytes from 172.19.0.61 (172.19.0.61): icmp_seq=2 ttl=128 time=0.334 ms
64 bytes from 172.19.0.61 (172.19.0.61): icmp_seq=3 ttl=128 time=0.314 ms
64 bytes from 172.19.0.61 (172.19.0.61): icmp_seq=4 ttl=128 time=0.323 ms
^C
--- example-company.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3044ms
rtt min/avg/max/mdev = 0.221/0.298/0.334/0.045 ms

Konfigurasikan Kerberos.

Tambahkan baris-baris berikut ke file konfigurasi /etc/krb5.conf.

    default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
    default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
    permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

# To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/
[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
    spake_preauth_groups = edwards25519
#    default_realm = EXAMPLE.COM
    default_ccache_name = KEYRING:persistent:%{uid}
    default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
    default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
    permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
[realms]
# EXAMPLE.COM = {
#     kdc = kerberos.example.com
#     admin_server = kerberos.example.com
# }
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM

Gunakan akun pengguna lokal untuk mendapatkan dan menyimpan informasi tiket Kerberos.

Buat pengguna lokal baru dan catat UID serta GID-nya.

useradd usera1
su - usera1
id

[root@iZrj9gqbtl7kefeqxxx ~]# useradd usera1
[root@iZrj9gqbtl7kefeqxxx ~]# su - usera1
[usera1@iZrj9gqbtl7kefeqxxx ~]$ id
uid=1004(usera1) gid=1004(usera1) groups=1004(usera1)

Sebagai pengguna lokal baru, dapatkan tiket Kerberos untuk pengguna AD.

kinit administrator@EXAMPLE-COMPANY.COM
klist

user1@iZrj9gqbtl7xxx          :~$ kinit administrator@EXAMPLE-COMPANY.COM
Password for administrator@EXAMPLE-COMPANY.COM:
user1@iZrj9gqbtl7xxx          :~$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: administrator@EXAMPLE-COMPANY.COM
Valid starting       Expires              Service principal
09/08/2021 05:47:53  09/08/2021 15:47:53  krbtgt/EXAMPLE-COMPANY.COM@EXAMPLE-COMPANY.COM
        renew until 09/09/2021 05:47:49
user1@iZrj9gqbtl7xxx          :~$

Pasang sistem file SMB.
1. Instal alat pemasangan yang diperlukan.
  - Ubuntu
```
sudo apt-get install keyutils cifs-utils
```
  - CentOS
```
sudo yum install keyutils cifs-utils
```
2. Jalankan perintah berikut untuk memasang sistem file.
```
sudo mount -t cifs //205dee4****-uub48.us-west-1.nas.aliyuncs.com/myshare /mnt -o vers=2.1,sec=krb5,cruid=1004,uid=1004,gid=1004  --verbose
```
  Ganti 205dee4****-uub48.us-west-1.nas.aliyuncs.com dengan alamat titik pemasangan sistem file Anda.
  
  Catatan
  Jika Anda memilih Enable Encryption in Transit di Konsol NAS, Anda harus menggunakan opsi vers=3.0 untuk memasang sistem file.
Konfigurasikan pemasangan otomatis.

Untuk memasang sistem file secara otomatis setelah klien Linux di-restart, konfigurasikan pemasangan otomatis.
1. Dalam file konfigurasi /etc/auto.master, tambahkan baris berikut:
```
/share    /etc/auto.cifs    --timeout=30 --ghost
```
2. Ubah file konfigurasi /etc/auto.cifs seperti pada contoh berikut:
```
* -fstype=cifs,vers=2.1,sec=krb5,cruid=${UID},uid=${UID},gid=${GID},file_mode=0700,dir_mode=0700 ://205dee4****-uub48.us-west-1.nas.aliyuncs.com/myshare/&
```
  Daftar berikut menjelaskan parameter utama. Ganti nilainya dengan informasi aktual Anda.
  - cruid dan uid: ID pengguna lokal usera1.
  - gid: ID grup pengguna lokal usera1.
  - 205dee4****-uub48.us-west-1.nas.aliyuncs.com: Alamat titik pemasangan.
    
    Di Konsol NAS, buka halaman File System List. Temukan sistem file Anda dan klik ikon . Di daftar yang muncul, temukan kolom Mount Target dan arahkan kursor ke ikon untuk mendapatkan alamat titik pemasangan.
3. Restart layanan autofs.
```
systemctl restart autofs.service
```
4. Verifikasi konfigurasi pemasangan otomatis.
  
  Sebagai contoh, Anda membuat direktori //205dee4****-uub48.us-west-1.nas.aliyuncs.com/myshare/usera1 dan memberikan izin penuh kepada pengguna usera1.
  
  Setelah Anda login sebagai pengguna domain AD, jalankan perintah ls /share/usera1. Jika isi direktori usera1 dalam sistem file SMB ditampilkan, konfigurasi pemasangan otomatis telah berhasil.

Mengelola ACL SMB dengan cifsacl

Gunakan perintah getcifsacl dan setcifsacl untuk mengelola ACL untuk sistem file SMB.

getcifsacl usera1/

usera1@example-company.com@myubuntu:/mnt$ getcifsacl usera1/
REVISION:0x1
CONTROL:0x8404
OWNER:S-1-5-21-2849381876-3817135681-4198507328-1107
GROUP:S-1-5-21-2849381876-3817135681-4198507328-513
ACL:S-1-5-21-2849381876-3817135681-4198507328-1107:ALLOWED/I/FULL
ACL:S-1-3-0:ALLOWED/OI|CI|IO|I/FULL
ACL:S-1-5-18:ALLOWED/OI|CI|I/FULL
ACL:S-1-5-32-544:ALLOWED/OI|CI|I/FULL
ACL:S-1-5-21-3076751034-3769290925-1520581464-512:ALLOWED/OI|CI|I/FULL

sudo setcifsacl -a "ACL:S-1-5-21-3076751034-3769290925-1520581464-513:ALLOWED/OI|CI|I/FULL" usera1/

usera1@example-company.com@myubuntu:/mnt$ sudo setcifsacl -a "ACL:S-1-5-21-3076751034-3769290925-1520581464-513:ALLOWED/OI|CI|I/FULL" usera1/
usera1@example-company.com@myubuntu:/mnt$ getcifsacl usera1
REVISION:0x1
CONTROL:0x8004
OWNER:S-1-5-21-2849381876-3817135681-4198507328-1107
GROUP:S-1-5-21-2849381876-3817135681-4198507328-513
ACL:S-1-5-21-2849381876-3817135681-4198507328-1107:ALLOWED/I/FULL
ACL:S-1-3-0:ALLOWED/OI|CI|IO|I/FULL
ACL:S-1-5-18:ALLOWED/OI|CI|I/FULL
ACL:S-1-5-32-544:ALLOWED/OI|CI|I/FULL
ACL:S-1-5-21-3076751034-3769290925-1520581464-512:ALLOWED/OI|CI|I/FULL
ACL:S-1-5-21-3076751034-3769290925-1520581464-513:ALLOWED/OI|CI|I/FULL
usera1@example-company.com@myubuntu:/mnt$