Server Message Block (SMB) ファイルシステムのマウントターゲットを Active Directory (AD) ドメインに参加させることで、AD ドメインでユーザー認証とファイルレベルのアクセスコントロールを管理できます。AD ドメインユーザーとして SMB ファイルシステムをマウントして使用するには、AD ドメインにファイルシステムのサービスプリンシパルを登録し、キータブファイルを生成して NAS コンソールにアップロードし、SMB ACL 機能を有効にする必要があります。
前提条件
SMB ファイルシステムを作成済みであること。 詳細については、「SMB ファイルシステムの作成」をご参照ください。
ステップ1:キータブファイルの生成
キータブファイルは、次のいずれかの方法で生成できます。
自動生成
-
AD ドメインコントローラーと DNS サービスをホストする Elastic Compute Service (ECS) インスタンスにログインします。
-
PowerShell または PowerShell ISE で、次のコマンドを実行してスクリプトをダウンロードします。
Invoke-WebRequest https://nas-client-tools.oss-cn-hangzhou.aliyuncs.com/windows_client/alinas_smb_windows_inspection.ps1 -OutFile alinas_smb_windows_inspection.ps1 -
alinas_smb_windows_inspection.ps1スクリプトの暗号化方式を-crypto RC4-HMAC-NTに変更します (Windows Server 2025 のみ)。この手順は Windows Server 2025 の場合にのみ必要です。 以前のバージョンを使用している場合は、ステップ 4 に進みます。
-
ダウンロードした
alinas_smb_windows_inspection.ps1ファイルをメモ帳で開きます。notepad .\alinas_smb_windows_inspection.ps1 -
-cryptoを含む行 (通常は 791 行目) を見つけます。 -
暗号化方式を
-crypto Allから-crypto RC4-HMAC-NTに変更します。変更前:
$command = "ktpass -princ cifs/$MountAddress@$domainFullUpper -ptype KRB5_NT_PRINCIPAL -mapuser $SetspnNas@$domainFull -crypto All -out c:\nas-mount-target.keytab -pass tHePaSsWoRd123"変更後:
$command = "ktpass -princ cifs/$MountAddress@$domainFullUpper -ptype KRB5_NT_PRINCIPAL -mapuser $SetspnNas@$domainFull -crypto RC4-HMAC-NT -out c:\nas-mount-target.keytab -pass tHePaSsWoRd123" -
Ctrl+S を押してファイルを保存し、閉じます。
-
-
次のコマンドを実行して、AD ドメインコントローラーと DNS サービスを自動的にインストールし、キータブファイルを生成します。
.\alinas_smb_windows_inspection.ps1 -MountAddress file-system-id.region-id.nas.aliyuncs.com -ConfigAD $true -Userdomain "example.com" -Username "administrator" -Password "password"主要なパラメーターは次のとおりです。 例の値を実際の情報に置き換えてください。
-
file-system-id.region-id.nas.aliyuncs.com:SMB ファイルシステムのマウントターゲットアドレスです。 [ファイルシステムリスト] ページで、対象のファイルシステムの [ファイルシステムリスト] をクリックし、[マウントして使用] ページに移動してマウントターゲットアドレスを取得します。
-
example.com:セットアップする AD ドメインです。
-
administrator:AD サービスアカウントの名前です。
-
password:AD サービスアカウントのログオンパスワードです。
-
初めてスクリプトを実行して AD ドメインサービスをインストールし、AD ドメインを起動すると、Windows AD サーバーが再起動します。 再起動後、スクリプトを再度実行してキータブの生成を完了します。
手動設定
-
AD ドメインサービスと DNS サービスをインストールして有効にします。
-
AD ドメインコントローラーをホストする ECS インスタンスにログインします。
-
コマンドプロンプトウィンドウを開き、次のコマンドを実行して SMB ファイルシステムのサービスアカウントを作成します。
dsadd user CN=<AD_service_account_name>,DC=<AD_domain_name>,DC=com -samid <AD_service_account_name> -display <user_description> -pwd <user_password> -pwdneverexpires yes例:
dsadd user CN=alinas,DC=EXAMPLE,DC=com -samid alinas -display "Alibaba Cloud NAS Service Account" -pwd tHeRd123**** -pwdneverexpires yes標準ユーザーとしてログインしている場合、サービスアカウントを作成する前に、管理者がアカウントに
servicePrincipalName属性の読み取りおよび書き込み権限を付与する必要があります。 これらの権限を付与するには、次のコマンドを実行します。dsacls "CN=<AD_service_account_name>,DC=<AD_domain_name>,DC=com" /I:T /G "<AD_service_account_name>:RPWP;servicePrincipalName"例:
dsacls "CN=alinas,DC=cdbptest01,DC=com" /I:T /G "alinas:RPWP;servicePrincipalName"ここで、
RPは読み取り権限、WPは書き込み権限です。 -
次のコマンドを実行して、SMB ファイルシステムのマウントターゲットのサービスプリンシパルを登録します。
-
コマンドの実行:
setspn -S cifs/<mount_target_address_of_SMB_file_system> <AD_service_account_name>例:
setspn -S cifs/****-****.cn-hangzhou.nas.aliyuncs.com alinas説明-
マウントターゲットアドレスの形式は
file-system-id.region-id.nas.aliyuncs.comです。 プレースホルダーを実際の値に置き換えてください。 Apsara File Storage NAS コンソールの[ファイルシステムリスト] ページで、対象のファイルシステムの [管理] をクリックし、[マウントして使用] ページに移動してマウントターゲットアドレスを取得します。 -
file-system-id.region-id.nas.aliyuncs.com/myshareのように、マウントターゲットアドレスにマウントディレクトリを含めないでください。
-
-
出力例
次の出力は、SMB ファイルシステムのマウントターゲットのサービスプリンシパルが正常に追加されたことを示します。
C:\Users\Administrator>setspn -S cifs/xxx.nas.aliyuncs.com alinas Checking domain DC=smb-hk,DC=com Registering ServicePrincipalNames for CN=alinas,DC=smb-hk,DC=com cifs/xxx.nas.aliyuncs.com Updated object C:\Users\Administrator>
-
-
Windows AD サーバーまたは Windows クライアントで setspn の設定を確認します。
コマンドの実行:
setspn alinas出力にファイルシステムのマウントターゲットが含まれている場合、setspn は Windows AD サーバーまたは Windows クライアントで正しく設定されています。
C:\Users\Administrator\Desktop>setspn alinas Registered ServicePrincipalNames for CN=alinas,DC=smbmock60,DC=com: cifs/xxx.nas.aliyuncs.com -
AD ドメインコントローラーで、コマンドプロンプトウィンドウを開き、次のコマンドを実行して SMB ファイルシステムのマウントターゲットのキータブファイルを生成します。
重要-princパラメーターでは大文字と小文字が区別され、<AD domain>パラメーターの値はすべて大文字にする必要があります。-
Windows Server 2022 以前の場合
ktpass -princ cifs/<SMB_file_system_mount_target_address>@<AD_domain> -ptype KRB5_NT_PRINCIPAL -mapuser <AD_service_account_name>@<AD_domain> -crypto All -out <path_of_the_generated_keytab_file> -pass <user_password>例:
ktpass -princ cifs/****-****.cn-hangzhou.nas.aliyuncs.com@EXAMPLE.COM -ptype KRB5_NT_PRINCIPAL -mapuser alinas@example.com -crypto All -out c:\nas-mount-target.keytab -pass tHeP****d123 -
Windows Server 2025 の場合
Windows Server 2025 はデータ暗号化標準 (DES) をサポートしていません。 したがって、キータブファイルを生成するときは、
-crypto Allパラメーターを-crypto RC4-HMAC-NTに変更する必要があります。ktpass -princ cifs/<SMB_file_system_mount_target_address>@<AD_domain> -ptype KRB5_NT_PRINCIPAL -mapuser <AD_service_account_name>@<AD_domain> -crypto RC4-HMAC-NT -out <path_of_the_generated_keytab_file> -pass <user_password>例:
ktpass -princ cifs/****-****.cn-hangzhou.nas.aliyuncs.com@EXAMPLE.COM -ptype KRB5_NT_PRINCIPAL -mapuser alinas@example.com -crypto RC4-HMAC-NT -out c:\nas-mount-target.keytab -pass tHeP****d123
キータブファイルを確認するには、「キータブファイルの確認方法」をご参照ください。
-
キータブファイルをローカルコンピューターにダウンロードするには、「ECS インスタンス上のファイルのアップロード、ダウンロード、または管理のための Workbench の使用」をご参照ください。
ステップ2:キータブファイルのアップロード
NAS コンソールで、Apsara File Storage NAS サービスアカウントのキータブファイルをアップロードします。
-
NAS コンソールにログインします。
-
左側メニューで、を選択します。
-
ファイルシステムリスト ページで、目的のファイルシステムの ID をクリックするか、[操作] 列の 管理 をクリックします。
-
アクセス制御 タブで、オープン をクリックします。
-
有効 SMB ACL ダイアログボックスで、Apsara File Storage NAS サービスアカウントの keytab ファイルをアップロードし、次に OK をクリックします。
注:クライアントがすでにファイルシステムをマウントしている場合は、変更を有効にするために再マウントする必要があります。
-
アクセス制御 タブで、設定の変更 をクリックします。
-
設定の変更 ダイアログボックスで、以下の表の説明に従ってパラメーターを設定します。
重要トランスポート暗号化は、SMB 3.0 以降を使用するオペレーティングシステムでのみサポートされます。 サポートされているオペレーティングシステムの詳細については、「SMB 3.0 以降のプロトコルバージョンをサポートするクライアントオペレーティングシステム」をご参照ください。
パラメーター
説明
匿名アクセスを許可
ファイルシステムへの匿名アクセスを許可するかどうかを指定します。 有効値:
-
はい:NTLM を使用して誰でもファイルシステムをマウントできます。 マウント後、ユーザー ID は Everyone になりますが、設定された ACL は引き続き適用されます。
-
いいえ (デフォルト):匿名ユーザーがファイルシステムにアクセスできないようにします。
トランスポート暗号化を有効にする
SMB ファイルシステムのトランスポート暗号化を有効にするかどうかを指定します。 有効値:
-
はい:SMB ファイルシステムのトランスポート暗号化を有効にします。
-
いいえ (デフォルト):SMB ファイルシステムのトランスポート暗号化を無効にします。
詳細については、「SMB ファイルシステムのトランスポート暗号化」をご参照ください。
暗号化されていないクライアントを拒否
SMB ファイルシステムにアクセスできるクライアントの種類を指定します。 有効値:
はい: クライアントを使用するか、転送中の暗号化機能が有効になっているSMBファイルシステムをマウントできます。 つまり、ADドメインユーザーを使用して、オペレーティングシステムが転送中の暗号化機能をサポートしているクライアントにSMBファイルシステムをマウントできます。
ただし、SMBファイルシステムを匿名ユーザーとして、または転送中の暗号化機能をサポートしていないクライアントを使用してマウントすることはできません。
No: すべてのタイプのクライアントからSMBファイルシステムをマウントできます。 ただし、移行中暗号化機能を有効にできるのは、ADドメインユーザーを使用して、移行中暗号化機能をサポートしているオペレーティングシステムのクライアントにSMBファイルシステムをマウントする場合のみです。
キータブファイル
キータブファイルをアップロードします。
スーパー管理者
スーパー管理者は、ACL を変更することなく、任意のフォルダー内の任意のファイルに対して操作を実行できます。 ユーザーまたはグループをスーパー管理者として設定できます。 値は、S-1-5-32-544 などのセキュリティ識別子 (SID) 形式である必要があります。 デフォルト値:空。
ユーザーホームディレクトリ
各ユーザーのホームディレクトリのプライマリパスです。 たとえば、これを
\homeに設定すると、ユーザー A がログオンしたときに、ファイルシステムは自動的に\home\Aディレクトリを作成します。\home\Aがすでに存在する場合、このアクションはスキップされます。 デフォルト値:空。重要ユーザー A は
\homeディレクトリにディレクトリを作成する権限を持っている必要があります。 そうでない場合、\home\Aディレクトリは作成できません。重要クライアントがすでに SMB ファイルシステムをマウントしている場合は、AD ドメインサービスアカウントへの変更を有効にするために再マウントする必要があります。
-
次のステップ
SMB ファイルシステムのマウントターゲットを AD ドメインに参加させた後、AD ドメインユーザーとして SMB ファイルシステムをマウントして使用できます。 詳細については、「Windows クライアントで AD ドメインユーザーとして SMB ファイルシステムをマウントして使用する」および「Linux クライアントで AD ドメインユーザーとして SMB ファイルシステムをマウントして使用する」をご参照ください。