Configura el protocolo NFSv4.1

En la siguiente guía, se muestra cómo implementar el protocolo NFSv4.1 con una instancia nueva de Filestore.

Información acerca de NFSv4.1

Filestore ofrece compatibilidad con el protocolo NFSv4.1 para las instancias creadas en los siguientes niveles de servicio:

  • Zonal
  • Regional
  • Enterprise

Esta función se puede integrar con el servicio administrado para Microsoft Active Directory (Microsoft AD administrado) para admitir cargas de trabajo que requieran autenticación de clientes y servidores, verificaciones de integridad de datos de mensajes y encriptación de datos en tránsito, capacidades que antes no estaban disponibles en Filestore.

  • La autenticación es compatible con LDAP y Kerberos, y incluye los siguientes tipos de seguridad (parámetros de configuración):

    • Autenticación de cliente y servidor (krb5).
    • Verificaciones de integridad de los mensajes (krb5i). Incluye las capacidades de la configuración anterior.
    • Encriptación de datos en tránsito (krb5p). Incluye las capacidades del parámetro de configuración anterior.

Microsoft AD administrado es la única solución de Google Cloud completamente administrada que admite LDAP y Kerberos, requisitos para el protocolo NFSv4.1 y sus beneficios de seguridad y privacidad. Si bien no es obligatoria la integración con Microsoft AD administrado, se recomienda encarecidamente que, para obtener una experiencia del usuario óptima de Google Cloud, se administren las cuentas de usuario y los grupos y permisos fluctuantes.

¿Deberías usar NFSv4.1?

Muchas organizaciones empresariales dependen de sistemas heredados para las operaciones críticas para el negocio. Muchos de estos sistemas requieren autenticación y encriptación en tránsito para su almacenamiento de archivos de red. NFSv3 no se diseñó teniendo en cuenta la autenticación. La integración del protocolo NFSv4.1 de Filestore con Microsoft AD administrado ahora cumple con este requisito fundamental del usuario.

Objetivos

En esta guía, aprenderás a completar las siguientes tareas:

Crea una instancia de Filestore que use NFSv4.1

Para usar Managed Microsoft AD con una instancia de Filestore, el dominio de Managed Microsoft AD se debe crear antes que la instancia de Filestore.

Antes de comenzar

  1. Tanto el dominio de Microsoft AD administrado como la instancia de Filestore deben usar la misma VPC en el mismo proyecto.

    Si tu servicio de Microsoft AD administrado se aloja en un proyecto independiente de la instancia de Filestore que deseas usar, la red de VPC de Filestore debe estar vinculada al dominio de Microsoft AD administrado.

    Para obtener más información, consulta Cómo implementar Microsoft AD administrado con acceso entre proyectos mediante el aprovisionamiento de dominios.

  2. Completa todos los pasos de configuración para crear una instancia de Filestore.

  3. Asegúrate de que los usuarios de Microsoft AD administrado tengan los campos POSIX RFC 2307 y RFC 2307bis propagados, de manera similar a lo siguiente.

    Para obtener más información sobre cómo configurar objetos en Microsoft AD administrado, consulta Objetos de Active Directory administrados.

    Usuarios y computadoras de Active Directory

    En los siguientes pasos, se describen los atributos que debes configurar para los usuarios y grupos de LDAP. Puedes administrar los atributos POSIX con el complemento de MMC Usuarios y computadoras de Active Directory.

    Para abrir el editor de atributos, sigue estos pasos:

    1. Haz clic en Iniciar.

    2. Haz clic en Herramientas administrativas de Windows y selecciona Usuarios y computadoras de Active Directory.

      Se abrirá la ventana Usuarios y computadoras de Active Directory.

    3. Selecciona el nombre de dominio que deseas ver. Para expandir su contenido, haz clic en la flecha de expansión .

    4. En el menú Ver de Usuarios y computadoras de Active Directory, selecciona Funciones avanzadas.

    5. En el panel izquierdo, haz doble clic en Usuarios.

    6. En la lista de usuarios, haz doble clic en un usuario para ver la pestaña Editor de atributos.

      Los usuarios de LDAP deben tener configurados los siguientes atributos:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Cada usuario debe tener un uidNumber único. Ten en cuenta que el valor del atributo uid distingue entre mayúsculas y minúsculas. Para el atributo objectClass, user es la configuración predeterminada en la mayoría de las implementaciones de Active Directory (AD). A continuación, se muestra un ejemplo:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Los grupos de LDAP deben tener configurados los siguientes atributos:

      • cn
      • gidNumber
      • objectClass

      Cada grupo debe tener un gidNumber único. Ten en cuenta que el valor del atributo cn distingue mayúsculas de minúsculas. Para el atributo objectClass, group es la configuración predeterminada en la mayoría de las implementaciones de AD. A continuación, se incluye un ejemplo:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Otorga acceso a Filestore para crear y administrar objetos en Microsoft AD administrado con el comando gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Reemplaza lo siguiente:

    • MANAGED_MICROSOFT_AD_PROJECT_ID es el ID del proyecto en el que se encuentra el dominio de Microsoft AD administrado.
    • PROJECT_ID es el ID del proyecto en el que se encuentra la instancia de Filestore.

    Es posible que veas un error similar al siguiente:

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.

    Si es así, usa el siguiente comando para resolverlo:

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Crea una instancia de Filestore con o sin Microsoft AD administrado

En esta sección, crearás una instancia de Filestore configurada para usarla con el protocolo NFSv4.1. Se incluyen pasos opcionales para los usuarios que elijan no usar Microsoft AD administrado.

  • Asegúrate de tener suficiente cuota.

    Los rangos de cuotas de instancias varían según la ubicación de la región y el nivel de servicio que deseas usar. Para aumentar la cuota disponible, debes enviar una solicitud de aumento de cuota.

Consola de Google Cloud

Configura los parámetros de la instancia

  1. En la consola de Google Cloud, ve a la página de instancias de Filestore.

    Vaya a la página de instancias de Filestore

  2. Haz clic en Crear instancia.

  3. Especifica los parámetros básicos de la instancia, incluidos el nombre, el tipo de instancia y la capacidad:

    1. En el campo ID de instancia, ingresa el nombre que deseas usar para la instancia de Filestore.

    2. En Tipo de instancia, selecciona Regional o Zonal.

      Para crear una instancia empresarial, debes ejecutar operaciones directamente a través de la API de Filestore.

    3. En Capacidad asignada, ingresa la capacidad que deseas usar. Debes ingresar un valor entre 1 TB y 10 TB, en incrementos de 256 GiB (0.25 TiB).

    4. En Región, selecciona la región que deseas usar.

    5. En Red de VPC, selecciona la red que deseas usar para la instancia de Filestore y los clientes de NFS.

      • Si Microsoft AD administrado está en el mismo proyecto que la instancia de Filestore, la red de VPC debe estar autorizada en el dominio de Microsoft AD administrado.
      • Si Microsoft AD administrado está en un proyecto independiente, la red de VPC debe configurarse con el intercambio de tráfico entre redes de Active Directory en la configuración de Microsoft AD administrado.

    6. En Rango de IP asignado, selecciona Usar un rango de IP asignado automáticamente (opción recomendada).

    7. En Protocolo, selecciona NFSv4.1.

Configura la configuración de autenticación de la instancia

  1. Configura la configuración de autenticación de la instancia.
    1. Haz clic en Autenticación.
    2. Selecciona el proyecto que aloja Microsoft AD administrado. A los efectos de esta guía, asumiremos que el proyecto actual es el que queremos usar.
    3. En la lista Unirse a un dominio de Active Directory, selecciona el dominio de Microsoft AD administrado que deseas usar.
    4. En el campo Nombre de la cuenta de la computadora, ingresa el nombre de la cuenta de la computadora que deseas usar para identificar la instancia de Filestore en el dominio de Microsoft AD administrado. El nombre tiene un límite de 15 caracteres alfanuméricos.
    5. En el campo Nombre del archivo compartido, ingresa el nombre del recurso compartido como lo usarán los clientes de NFSv4.1.

  2. En el panel Control de acceso, completa cualquiera de los siguientes pasos:

    • Si usas Microsoft AD administrado, selecciona Restringir el acceso según dirección IP o rango.

      1. Establece la regla de acceso por IP o subred que deseas definir. Para los fines de esta guía, usa la siguiente configuración:
      2. En el campo Dirección IP o rango 1, ingresa la dirección IP o el rango que deseas usar.
      3. Haz clic en la lista desplegable Access 1 y selecciona Administrador.
      4. Haz clic en la lista desplegable Mountsec= 1 y selecciona la casilla de verificación sys.

      El propietario predeterminado de / de Filestore es root. Para permitir el acceso a la instancia a otros usuarios y grupos, debes crear una regla de acceso que habilite el acceso a la VM de administración con el rol Admin y la configuración de seguridad sec=sys.

    • Si no usas Microsoft AD administrado, selecciona Otorgar acceso a todos los clientes en la red de VPC.

      Si no se usa Microsoft AD administrado, el único parámetro de configuración de seguridad compatible es sec=sys.

  3. Haz clic en Crear para crear la instancia.

gcloud

  1. Instala e inicializa gcloud CLI

    Si ya tienes instalada gcloud CLI, ejecuta el siguiente comando para actualizarla:

    gcloud components update

  2. Completa uno de los siguientes pasos:

    1. Si usas Microsoft AD administrado, ejecuta el siguiente comando gcloud beta filestore instances create para crear una instancia de Filestore zonal, regional o empresarial:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
--managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
--project=CONSUMER_PROJECT_ID

      Reemplaza lo siguiente:

      • INSTANCE_ID es el ID de la instancia de Filestore que deseas crear. Consulta Asigna un nombre a la instancia.
      • DESCRIPTION es una descripción de la instancia que deseas usar.
      • LOCATION es la ubicación en la que quieres que resida la instancia de Filestore.
      • TIER es el nivel de servicio que deseas usar.
      • PROTOCOL es NFS_v4_1.
      • FILE_SHARE_NAME es el nombre que especificas para el recurso compartido de archivos NFS que se entrega desde la instancia.
      • CAPACITY es el tamaño que deseas para el recurso compartido de archivos, de 1 TiB a 10 TiB.

      • VPC_NETWORK es el nombre de la red de VPC que usará la instancia. Consulta Cómo seleccionar la red de VPC. Si deseas especificar una VPC compartida desde un proyecto de servicio, debes especificar el nombre de red completamente calificado, que tiene el formato projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME, y debes especificar connect-mode=PRIVATE_SERVICE_ACCESS, de manera similar a lo siguiente:

        --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

        No puedes especificar una red heredada para el valor vpc_network. Si es necesario, sigue las instrucciones de Crea una red de VPC en modo automático para crear una nueva red de VPC.

      • MANAGED_AD_PROJECT_ID es el ID del proyecto en el que se encuentra el servicio de Microsoft AD administrado.

      • MANAGED_AD_DOMAIN_NAME es el nombre de dominio del servicio de Microsoft AD administrado que deseas usar. Es el nombre de dominio que eliges cuando creas un dominio de Microsoft AD administrado.

      • DOMAIN_COMPUTER_ACCOUNT es cualquier nombre que quieras que se le asigne al clúster en el dominio.

      • CONSUMER_PROJECT_ID es el ID del proyecto que contiene la instancia de Filestore.

      • CONNECT_MODE es DIRECT_PEERING o PRIVATE_SERVICE_ACCESS. Si especificas una VPC compartida como la red, también debes especificar PRIVATE_SERVICE_ACCESS como el modo de conexión. Esta marca es obligatoria para el intercambio de tráfico entre redes de VPC, que es un requisito cuando se usa Microsoft AD administrado.

      • RESERVED_IP_RANGE es el rango de direcciones IP de la instancia de Filestore. Si especificas connect-mode=PRIVATE_SERVICE_ACCESS y deseas usar un rango de direcciones IP reservado, debes especificar el nombre de un rango de direcciones asignado en lugar de un rango CIDR. Consulta Configura una dirección IP reservada. Recomendamos que omitas esta marca para permitir que Filestore encuentre automáticamente un rango de direcciones IP gratuito y lo asigne a la instancia.

    2. Si no usas Microsoft AD administrado, ejecuta el mismo comando que en el paso anterior para crear una instancia de Filestore, omitiendo la marca --managed-ad y las marcas para el enrutamiento entre redes de VPC, es decir, connect-mode y reserved-ip-range. Usa el siguiente comando como ejemplo:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK" \
--project=CONSUMER_PROJECT_ID

Información sobre las listas de control de acceso (LCA) basadas en la red en NFSv4.1

En NFSv3, solo se admite la variante de seguridad sys. Este parámetro de configuración confía en los uid y gid del usuario que proporciona el cliente durante el acceso.

En el protocolo NFSv4.1 de Filestore, hay varios parámetros de configuración o variantes de seguridad de la ACL de red disponibles:

  • krb5

    Autentica al cliente con un ticket Kerberos, que se valida en el servidor Kerberos de Microsoft AD administrado.

  • krb5i

    Incluye la autenticación que proporciona krb5 y también usa Kerberos para ejecutar verificaciones de integridad de mensajes en todo el tráfico de red hacia y desde la instancia.

  • krb5p

    Incluye la autenticación que proporciona krb5 y las verificaciones de integridad de los mensajes de krb5i, y también usa Kerberos para la encriptación de datos en tránsito.

Si deseas aprovechar estas opciones, es necesaria la integración del servicio administrado para Microsoft Active Directory.

Si no se especifica un dominio del servicio administrado para Microsoft Active Directory, solo se admite la variante de seguridad sys.

Para obtener más información, consulta las limitaciones de NFSv4.1.

Activa instancias de NFSv4.1 de Filestore en clientes de Linux

En los siguientes pasos, se muestra cómo activar instancias en clientes de Linux.

  • Activa con sec=sys para obtener permisos de NFS estándar:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Activa con sec=krb5 para la autenticación basada en Kerberos:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Activa con sec=krb5i para la autenticación basada en Kerberos y las verificaciones de integridad de los mensajes:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Activa la activación con sec=krb5p para la autenticación basada en Kerberos, las verificaciones de integridad y la encriptación en tránsito:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

    Reemplaza lo siguiente:

    • FILESTORE-INSTANCE-FQDN es el nombre de dominio completamente calificado en el que se encuentra la instancia de Filestore.
    • INSTANCE_SHARE_POINT es el nombre del archivo compartido de la instancia de Filestore que deseas conectar.
    • MOUNT_POINT es el nombre del punto de activación o directorio en el que deseas activarlo.

Configuración del cliente de Linux

Una instancia de Filestore de NFSv4.1 permite a los clientes realizar operaciones de NFS con varios tipos de seguridad. El administrador de la instancia configura estos tipos a través de las ACL de red en la instancia de Filestore NFSv4.1, durante la creación o si se actualizan después de la creación.

La variante de seguridad sys usa la autenticación estándar de Unix, mientras que las variantes krb5, krb5i y krb5p usan la autenticación basada en Kerberos.

Las variantes krb5, krb5i y krb5p requieren que los clientes estén conectados al mismo dominio de Microsoft AD administrado que la instancia de Filestore. Completa los siguientes pasos según corresponda a tu entorno.

Imagen de Ubuntu

  1. Establece una conexión SSH a la instancia de Compute Engine.

  2. Ejecuta los siguientes comandos para unirte al dominio de Microsoft AD administrado.

    1. Ejecuta el siguiente comando de configuración:

      sudo apt-get update \
sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry

    2. Cuando se te solicite el reino, reemplaza la entrada existente por el dominio de Microsoft AD administrado que se usa en la instancia de Filestore. Ingresa el valor en mayúsculas, presiona la tecla de flecha para seleccionar Aceptar y, luego, presiona Intro.

    3. Cuando se te solicite que ingreses los hosts, déjalos en blanco y continúa.

    4. Completa uno de los siguientes pasos:

      • Para las VMs con un nombre de host de menos de 15 caracteres, ejecuta el siguiente comando:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

        Reemplaza lo siguiente:

        • JOIN_DOMAIN_USER es el nombre de la cuenta de usuario que se usa para unirse al dominio.
        • MANAGED_AD_DOMAIN_NAME es el nombre de dominio del servicio de Microsoft AD administrado que deseas usar.

      • Para las VMs con un nombre de host de más de 15 caracteres, ejecuta el siguiente comando:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

        Reemplaza lo siguiente:

        • JOIN_DOMAIN_USER es el nombre de la cuenta de usuario que se usa para unirse al dominio.
        • MANAGED_AD_REALM_NAME es el nombre del reino del servicio de Microsoft AD administrado que deseas usar.
        • MANAGED_AD_DOMAIN_NAME es el nombre de dominio del servicio de Microsoft AD administrado que deseas usar.

  3. Actualiza la configuración de Kerberos. Actualiza /etc/krb5.conf con la definición de reino y la asignación de reino-dominio requeridas:

     [realms]
          DOMAIN_NAME = {
                   kdc = DOMAIN_NAME
                   default_domain = DOMAIN_NAME
          }
 [domain_realm]
          .domain_name_lowercase = DOMAIN_NAME
          domain_name_lowercase = DOMAIN_NAME

    Reemplaza lo siguiente:

    • DOMAIN_NAME es el nombre de dominio que deseas usar, ingresado en mayúsculas.
    • domain_name_lowercase es el nombre de dominio que deseas usar, ingresado en minúsculas.

    Consulta el siguiente ejemplo:

    [realms]
       FILE.DEMO.LOCAL = {
                kdc = FILE.DEMO.LOCAL
                default_domain = FILE.DEMO.LOCAL
       }

[domain_realm]
       .file.demo.local = FILE.DEMO.LOCAL
       file.demo.local = FILE.DEMO.LOCAL

  4. Ejecuta el servicio rpc-gssd. Agrega el siguiente valor del atributo No-Strip a la sección [General] dentro de /etc/idmapd.conf:

     [General]
 No-Strip = both

  5. Ejecuta el siguiente comando:

    sudo systemctl restart rpc-gssd

Imagen de CentOS

  1. Establece una conexión SSH a la instancia de Compute Engine.

  2. Únete al dominio de Microsoft AD administrado:

    sudo yum update \
sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients

  3. Completa uno de los siguientes pasos:

    • Para las VMs con un nombre de host de menos de 15 caracteres, ejecuta el siguiente comando:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

      Reemplaza lo siguiente:

      • JOIN_DOMAIN_USER es el nombre de la cuenta de usuario que se usa para unirse al dominio.
      • MANAGED_AD_DOMAIN_NAME es el nombre de dominio del servicio de Microsoft AD administrado que deseas usar.

    • Para las VMs con un nombre de host de más de 15 caracteres, ejecuta el siguiente comando:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

      Reemplaza lo siguiente:

      • JOIN_DOMAIN_USER es el nombre de la cuenta de usuario que se usa para unirse al dominio.
      • MANAGED_AD_REALM_NAME es el nombre de dominio del servicio de Microsoft AD administrado que deseas usar.
      • MANAGED_AD_DOMAIN_NAME es el nombre de dominio del servicio de Microsoft AD administrado que deseas usar.

  4. Asegúrate de que el servicio sssd esté en ejecución:

    sudo systemctl status sssd

  5. Ejecuta el servicio rpc-gssd. Agrega lo siguiente debajo del valor del atributo No-Strip a la sección [General] dentro de /etc/idmapd.conf:

    [General]
No-Strip = both

  6. Ejecuta el siguiente comando. Este comando ayuda a garantizar que el cliente NFS no quite el nombre de dominio del nombre de host del servidor NFS. Para obtener más información, consulta los archivos de la lista de Ganesha de NFS y el Archivo de Arch Linux:

    sudo systemctl start rpc-gssd

Desconecta y vuelve a conectarte a Microsoft AD administrado desde una instancia de Filestore

Consola de Google Cloud

Cómo desconectar un Microsoft AD administrado de una instancia de Filestore

  1. Desconecta una instancia de Filestore conectada a Microsoft AD administrado.

    En la consola de Google Cloud, ve a la página Instancias de Filestore.

    Vaya a la página de instancias de Filestore

  2. Haz clic en el ID de la instancia que deseas editar.

  3. En el panel Punto de activación de NFS, en Protocolo, junto a Nombre del servicio de directorio, haz clic en Desconectar dominio de AD.

  4. En la ventana Disconnect from domain failed, lee la alerta y, luego, haz clic en Edit instance.

    Al menos una regla en Control de acceso debe asignarse al rol de administrador con la configuración de seguridad de activación sys, como Access=Admin Mount y sec=sys.

  5. En el panel Editar uso compartido, busca la regla en la que Acceso esté configurado como Administrador. Haz clic en Activar sec= y selecciona sys para agregar esa opción al parámetro de configuración existente.

  6. Haz clic en Aceptar.

  7. Haz clic en Guardar.

  8. Junto a Nombre del servicio de directorio, haz clic en Desconectar el dominio de AD.

  9. En el campo de la ventana ¿Quieres desconectarlo del dominio?, ingresa el nombre del dominio del que deseas desconectarte.

  10. Haz clic en Desconectar.

Edita las reglas de acceso

  1. Actualiza la página. Ten en cuenta que Nombre del servicio de directorio ahora se establece en Ninguno.

  2. Haz clic en Edit.

  3. En el panel Editar uso compartido, busca cualquier regla que establezca el acceso para un rol que no sea Administrador, como Editor. En la regla, haz clic en Activar sec= y selecciona sys para agregarlo a la configuración existente. Haz clic en Aceptar.

  4. Haz clic en Guardar.

  5. Actualiza la página.

    Se actualiza la configuración de la regla.

Vuelve a conectar un Microsoft AD administrado a una instancia de Filestore

  1. Vuelve a conectar una instancia de Filestore a Microsoft AD administrado.

    En el panel Punto de activación de NFS, en Protocolo, junto a Nombre del servicio de directorio, haz clic en Unirse al dominio de AD.

  2. En la ventana Unir esta instancia a un dominio de Active Directory, selecciona Usar dominios del proyecto actual y, en el menú Unirse a un dominio de Active Directory, selecciona el dominio que deseas usar.

  3. En el menú Nombre de la cuenta de la computadora, ingresa un nombre.

  4. Haz clic en Unirse al dominio.

  5. Actualiza la página. Ten en cuenta que el Nombre del servicio de directorio se actualizó con tu selección.

  6. Haz clic en Edit.

  7. En el panel Editar acción, haz clic en Activar sec= en todas las reglas aplicables y quita la selección de sys. Haz clic en Aceptar.

  8. Haz clic en Guardar.

  9. Actualiza la página.

    Se actualiza la configuración de la regla.

¿Qué sigue?