Mengonfigurasi protokol NFSv4.1

Panduan berikut menunjukkan cara menerapkan protokol NFSv4.1 dengan instance Filestore baru.

Tentang NFSv4.1

Filestore menawarkan dukungan protokol NFSv4.1 untuk instance yang dibuat di tingkat layanan berikut:

  • Zonal
  • Regional
  • Enterprise

Kemampuan ini dapat diintegrasikan dengan Layanan Terkelola untuk Microsoft Active Directory (Microsoft AD Terkelola) untuk mendukung beban kerja yang memerlukan autentikasi klien dan server, pemeriksaan integritas data pesan, dan enkripsi data dalam pengiriman, kemampuan yang sebelumnya tidak tersedia di Filestore.

  • Autentikasi didukung menggunakan LDAP dan Kerberos serta mencakup ragam keamanan (setelan) berikut:

    • Autentikasi klien dan server (krb5).
    • Pemeriksaan integritas pesan (krb5i). Mencakup kemampuan setelan sebelumnya.
    • Enkripsi data dalam pengiriman (krb5p). Mencakup kemampuan setelan sebelumnya.

Managed Microsoft AD adalah satu-satunya solusi Google Cloud yang sepenuhnya dikelola yang mendukung LDAP dan Kerberos, persyaratan untuk protokol NFSv4.1 serta manfaat keamanan dan privasinya. Meskipun integrasi dengan Managed Microsoft AD tidak diperlukan, sebaiknya lakukan integrasi tersebut untuk pengalaman pengguna Google Cloud yang optimal guna mengelola akun pengguna serta grup dan izin yang berfluktuasi.

Haruskah Anda menggunakan NFSv4.1?

Banyak organisasi perusahaan mengandalkan sistem lama untuk operasi kritis bisnis. Banyak sistem ini memerlukan autentikasi dan enkripsi dalam pengiriman untuk penyimpanan file jaringannya. NFSv3 tidak dirancang dengan mempertimbangkan autentikasi. Integrasi protokol NFSv4.1 Filestore dengan Managed Microsoft AD kini memenuhi persyaratan pengguna yang penting ini.

Tujuan

Dalam panduan ini, Anda akan mempelajari cara menyelesaikan tugas berikut:

Membuat instance Filestore yang menggunakan NFSv4.1

Untuk menggunakan Microsoft AD Terkelola dengan instance Filestore, domain Microsoft AD Terkelola harus dibuat sebelum instance Filestore.

Sebelum memulai

  1. Domain Microsoft AD Terkelola dan instance Filestore harus menggunakan VPC yang sama saat berada di project yang sama.

    Jika layanan Microsoft AD Terkelola Anda dihosting dalam project yang terpisah dari instance Filestore yang ingin Anda gunakan, jaringan VPC Filestore harus dihubungkan ke domain Microsoft AD Terkelola.

    Untuk mengetahui informasi selengkapnya, lihat Men-deploy Microsoft AD Terkelola dengan akses lintas-project menggunakan peering domain.

  2. Selesaikan semua langkah penyiapan untuk membuat instance Filestore.

  3. Pastikan pengguna Microsoft AD Terkelola memiliki kolom POSIX RFC 2307 dan RFC 2307bis yang terisi, mirip dengan berikut ini.

    Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi objek di Managed Microsoft AD, lihat Objek Active Directory terkelola.

    Active Directory Users and Computers

    Langkah-langkah berikut menjelaskan atribut yang perlu Anda tetapkan untuk pengguna dan grup LDAP. Anda dapat mengelola atribut POSIX menggunakan snap-in MMC Active Directory Users and Computers.

    Anda dapat membuka Attribute Editor sebagai berikut:

    1. Klik Mulai.

    2. Klik Windows Administrative Tools, lalu pilih Active Directory Users and Computers.

      Jendela Active Directory Users and Computers akan terbuka.

    3. Pilih nama domain yang ingin Anda lihat. Untuk meluaskan kontennya, klik panah peluas .

    4. Di menu View Active Directory Users and Computers, pilih Advanced Features.

    5. Di panel kiri, klik dua kali Pengguna.

    6. Di daftar pengguna, klik dua kali pengguna untuk melihat tab Attribute Editor.

      Pengguna LDAP harus menetapkan atribut berikut:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Setiap pengguna harus memiliki uidNumber unik. Perhatikan bahwa nilai untuk atribut uid peka huruf besar/kecil. Untuk atribut objectClass, user adalah setelan default di sebagian besar deployment Active Directory (AD). Berikut adalah contohnya:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Grup LDAP harus menetapkan atribut berikut:

      • cn
      • gidNumber
      • objectClass

      Setiap grup harus memiliki gidNumber unik. Perhatikan bahwa nilai untuk atribut cn peka huruf besar/kecil. Untuk atribut objectClass, group adalah setelan default di sebagian besar deployment AD. Berikut adalah contohnya:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Berikan akses Filestore untuk membuat dan mengelola objek di Microsoft AD Terkelola menggunakan perintah gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Ganti kode berikut:

    • MANAGED_MICROSOFT_AD_PROJECT_ID adalah project ID dari project tempat domain Microsoft AD Terkelola berada.
    • PROJECT_ID adalah project ID project tempat instance Filestore berada.

    Anda mungkin melihat error, mirip dengan yang berikut ini:

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.

    Jika ya, gunakan perintah berikut untuk mengatasinya:

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Membuat instance Filestore dengan atau tanpa Managed Microsoft AD

Di bagian ini, Anda akan membuat instance Filestore yang dikonfigurasi untuk digunakan dengan protokol NFSv4.1. Langkah-langkah opsional disertakan untuk pengguna yang memilih untuk tidak menggunakan Managed Microsoft AD.

  • Pastikan Anda memiliki kuota yang cukup.

    Rentang kuota instance berdasarkan lokasi region dan tingkat layanan yang ingin Anda gunakan. Untuk meningkatkan kuota yang tersedia, Anda harus mengirimkan permintaan penambahan kuota.

Konsol Google Cloud

Menyiapkan parameter instance

  1. Di konsol Google Cloud, buka halaman instance Filestore.

    Buka halaman instance Filestore

  2. Klik Create Instance.

  3. Tentukan parameter dasar instance, termasuk nama, jenis instance, dan kapasitas:

    1. Di kolom Instance ID, masukkan nama yang ingin Anda gunakan untuk instance Filestore.

    2. Di Instance Type, pilih Regional atau Zonal.

      Untuk membuat instance perusahaan, Anda harus menjalankan operasi secara langsung melalui Filestore API.

    3. Di Allocated Capacity, masukkan kapasitas yang ingin Anda gunakan. Anda harus memasukkan nilai antara 1 TB dan 10 TB, dengan kelipatan 256 GiB (0,25 TiB).

    4. Di Region, pilih region yang ingin Anda gunakan.

    5. Di VPC Network, pilih jaringan yang ingin Anda gunakan untuk instance Filestore dan klien NFS.

      • Jika Managed Microsoft AD berada dalam project yang sama dengan instance Filestore, jaringan VPC harus diberi otorisasi di domain Managed Microsoft AD.
      • Jika Microsoft AD Terkelola berada dalam project terpisah, jaringan VPC harus dikonfigurasi dengan peering jaringan Active Directory di konfigurasi Microsoft AD Terkelola.

    6. Di Allocated IP range, pilih Use an automatically allocated IP range (recommended).

    7. Di bagian Protocol, pilih NFSv4.1.

Mengonfigurasi setelan autentikasi instance

  1. Konfigurasikan setelan autentikasi instance.
    1. Klik Autentikasi.
    2. Pilih project yang menghosting Microsoft AD Terkelola. Untuk tujuan panduan ini, kita akan menganggap project saat ini adalah project yang ingin kita gunakan.
    3. Dalam daftar Bergabung dengan domain Active Directory, pilih domain Microsoft AD Terkelola yang ingin Anda gunakan.
    4. Di kolom Computer account name, masukkan nama akun komputer yang ingin Anda gunakan untuk mengidentifikasi instance Filestore di domain Managed Microsoft AD. Nama dibatasi hingga 15 karakter alfanumerik.
    5. Di kolom File share name, masukkan nama berbagi karena akan digunakan oleh klien NFSv4.1.

  2. Di panel Access Control, selesaikan salah satu langkah berikut:

    • Jika menggunakan Microsoft AD Terkelola, pilih Batasi akses menurut alamat atau rentang IP.

      1. Tetapkan aturan akses berdasarkan IP atau subnet yang ingin Anda tentukan. Untuk tujuan panduan ini, gunakan setelan berikut:
      2. Di kolom IP address or range 1, masukkan alamat IP atau rentang yang ingin Anda gunakan.
      3. Klik menu drop-down Access 1, lalu pilih Admin.
      4. Klik menu drop-down Mountsec= 1, lalu centang kotak sys.

      Pemilik / default Filestore adalah root. Untuk mengaktifkan akses ke instance bagi pengguna dan grup lain, Anda harus membuat aturan akses yang mengaktifkan akses VM manajemen menggunakan peran Admin dan setelan keamanan sec=sys.

    • Jika Anda tidak menggunakan Managed Microsoft AD, pilih Berikan akses ke semua klien di jaringan VPC.

      Jika Microsoft AD Terkelola tidak digunakan, satu-satunya setelan keamanan yang didukung adalah sec=sys.

  3. Klik Buat untuk membuat instance.

gcloud

  1. Instal dan lakukan inisialisasi gcloud CLI.

    Jika Anda sudah menginstal gcloud CLI, jalankan perintah berikut untuk mengupdatenya:

    gcloud components update

  2. Selesaikan salah satu langkah berikut:

    1. Jika menggunakan Microsoft AD Terkelola, jalankan perintah gcloud beta filestore instances create berikut untuk membuat instance Filestore zonal, regional, atau perusahaan:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
--managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
--project=CONSUMER_PROJECT_ID

      Ganti kode berikut:

      • INSTANCE_ID adalah ID instance instance Filestore yang ingin Anda buat. Lihat Memberi nama instance.
      • DESCRIPTION adalah deskripsi untuk instance yang ingin Anda gunakan.
      • LOCATION adalah lokasi tempat Anda ingin tempatkan instance Filestore.
      • TIER adalah tingkat layanan yang ingin Anda gunakan.
      • PROTOCOL adalah NFS_v4_1.
      • FILE_SHARE_NAME adalah nama yang Anda tentukan untuk berbagi file NFS yang ditayangkan dari instance.
      • CAPACITY adalah ukuran yang Anda inginkan untuk berbagi file, antara 1 TiB hingga 10 TiB.

      • VPC_NETWORK adalah nama jaringan VPC yang ingin Anda gunakan untuk instance. Lihat Memilih jaringan VPC. Jika ingin menentukan VPC Bersama dari project layanan, Anda harus menentukan nama jaringan yang sepenuhnya memenuhi syarat, yang dalam format projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME dan Anda harus menentukan connect-mode=PRIVATE_SERVICE_ACCESS, mirip dengan berikut:

        --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

        Anda tidak dapat menentukan jaringan lama untuk nilai vpc_network. Jika perlu, buat jaringan VPC baru untuk digunakan dengan mengikuti petunjuk di Membuat jaringan VPC mode otomatis.

      • MANAGED_AD_PROJECT_ID adalah project ID tempat layanan Microsoft AD Terkelola berada.

      • MANAGED_AD_DOMAIN_NAME adalah nama domain layanan Microsoft AD Terkelola yang ingin Anda gunakan. Ini adalah nama domain yang Anda pilih saat membuat domain Microsoft AD Terkelola.

      • DOMAIN_COMPUTER_ACCOUNT adalah nama apa pun yang Anda inginkan untuk dipanggil cluster di domain.

      • CONSUMER_PROJECT_ID adalah project ID untuk project yang berisi instance Filestore.

      • CONNECT_MODE adalah DIRECT_PEERING atau PRIVATE_SERVICE_ACCESS. Jika menentukan VPC Bersama sebagai jaringan, Anda juga harus menentukan PRIVATE_SERVICE_ACCESS sebagai mode koneksi. Flag ini diperlukan untuk Peering Jaringan VPC, yang merupakan persyaratan saat menggunakan Managed Microsoft AD.

      • RESERVED_IP_RANGE adalah rentang alamat IP untuk instance Filestore. Jika menentukan connect-mode=PRIVATE_SERVICE_ACCESS, dan ingin menggunakan rentang alamat IP yang dicadangkan, Anda harus menentukan nama rentang alamat yang dialokasikan, bukan rentang CIDR. Lihat Mengonfigurasi alamat IP yang dicadangkan. Sebaiknya lewati tanda ini untuk mengizinkan Filestore menemukan rentang alamat IP gratis secara otomatis dan menetapkannya ke instance.

    2. Jika tidak menggunakan Managed Microsoft AD, jalankan perintah yang sama seperti langkah sebelumnya untuk membuat instance Filestore, dengan menghapus tanda --managed-ad, dan tanda untuk Peering Jaringan VPC, yaitu connect-mode dan reserved-ip-range. Gunakan perintah berikut sebagai contoh:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK" \
--project=CONSUMER_PROJECT_ID

Memahami daftar kontrol akses (ACL) berbasis jaringan di NFSv4.1.

Di NFSv3, hanya ragam keamanan sys yang didukung. Setelan ini memercayai uid dan gid pengguna yang disediakan oleh klien selama pemasangan.

Dalam protokol NFSv4.1 Filestore, beberapa setelan atau ragam keamanan ACL jaringan tersedia:

  • krb5

    Mengautentikasi klien menggunakan tiket Kerberos, yang divalidasi terhadap server Kerberos Managed Microsoft AD.

  • krb5i

    Menyertakan autentikasi yang disediakan oleh krb5 dan juga menggunakan Kerberos untuk menjalankan pemeriksaan integritas pesan pada semua traffic jaringan ke dan dari instance.

  • krb5p

    Menyertakan autentikasi yang disediakan oleh krb5 dan pemeriksaan integritas pesan krb5i, serta menggunakan Kerberos untuk enkripsi data dalam pengiriman.

Jika Anda ingin memanfaatkan opsi ini, integrasi Layanan Terkelola untuk Microsoft Active Directory diperlukan.

Jika domain Layanan Terkelola untuk Microsoft Active Directory tidak ditentukan, hanya ragam keamanan sys yang didukung.

Untuk mengetahui informasi selengkapnya, lihat Batasan NFSv4.1.

Memasang instance Filestore NFSv4.1 di klien Linux

Langkah-langkah berikut menunjukkan cara memasang instance di klien Linux.

  • Pasang dengan sec=sys untuk izin NFS standar:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Pasang dengan sec=krb5 untuk autentikasi berbasis Kerberos:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Pasang dengan sec=krb5i untuk autentikasi berbasis Kerberos dan pemeriksaan integritas pesan:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Pasang dengan sec=krb5p untuk autentikasi berbasis Kerberos, pemeriksaan integritas, dan enkripsi dalam pengiriman:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

    Ganti kode berikut:

    • FILESTORE-INSTANCE-FQDN adalah nama domain yang sepenuhnya memenuhi syarat tempat instance Filestore berada.
    • INSTANCE_SHARE_POINT adalah nama berbagi file instance Filestore yang ingin Anda hubungkan.
    • MOUNT_POINT adalah titik pemasangan atau nama direktori tempat Anda ingin memasang.

Konfigurasi klien Linux

Instance Filestore NFSv4.1 memungkinkan klien melakukan operasi NFS menggunakan berbagai ragam keamanan. Varian ini dikonfigurasi oleh administrator instance melalui ACL jaringan di instance Filestore NFSv4.1, selama pembuatan atau jika diperbarui setelah pembuatan.

Rasa keamanan sys menggunakan autentikasi Unix standar, sedangkan ragam krb5, krb5i, dan krb5p menggunakan autentikasi berbasis Kerberos.

Varian krb5, krb5i, dan krb5p mengharuskan klien terhubung ke domain Microsoft AD Terkelola yang sama dengan instance Filestore. Selesaikan langkah-langkah berikut yang sesuai untuk lingkungan Anda.

Image Ubuntu

  1. SSH ke instance Compute Engine.

  2. Jalankan perintah berikut untuk bergabung ke domain Microsoft AD Terkelola.

    1. Jalankan perintah penyiapan berikut:

      sudo apt-get update \
sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry

    2. Saat diminta untuk memasukkan realm, ganti entri yang ada dengan domain Microsoft AD Terkelola yang digunakan di instance Filestore. Masukkan nilai dalam huruf besar, lalu tekan tombol panah untuk memilih Oke, lalu tekan Enter.

    3. Jika diminta untuk memasukkan host, biarkan kosong dan lanjutkan.

    4. Selesaikan salah satu langkah berikut:

      • Untuk VM dengan panjang nama host yang kurang dari atau sama dengan 15 karakter, jalankan perintah berikut:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

        Ganti kode berikut:

        • JOIN_DOMAIN_USER adalah nama akun pengguna yang digunakan untuk bergabung dengan domain.
        • MANAGED_AD_DOMAIN_NAME adalah nama domain layanan Microsoft AD Terkelola yang ingin Anda gunakan.

      • Untuk VM dengan panjang nama host yang lebih dari 15 karakter, jalankan perintah berikut:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

        Ganti kode berikut:

        • JOIN_DOMAIN_USER adalah nama akun pengguna yang digunakan untuk bergabung dengan domain.
        • MANAGED_AD_REALM_NAME adalah nama realm layanan Microsoft AD Terkelola yang ingin Anda gunakan.
        • MANAGED_AD_DOMAIN_NAME adalah nama domain layanan Microsoft AD Terkelola yang ingin Anda gunakan.

  3. Perbarui konfigurasi Kerberos. Perbarui /etc/krb5.conf dengan definisi realm dan pemetaan domain-realm yang diperlukan:

     [realms]
          DOMAIN_NAME = {
                   kdc = DOMAIN_NAME
                   default_domain = DOMAIN_NAME
          }
 [domain_realm]
          .domain_name_lowercase = DOMAIN_NAME
          domain_name_lowercase = DOMAIN_NAME

    Ganti kode berikut:

    • DOMAIN_NAME adalah nama domain yang ingin Anda gunakan, dimasukkan dalam huruf besar.
    • domain_name_lowercase adalah nama domain yang ingin Anda gunakan, yang dimasukkan dalam huruf kecil.

    Lihat contoh berikut:

    [realms]
       FILE.DEMO.LOCAL = {
                kdc = FILE.DEMO.LOCAL
                default_domain = FILE.DEMO.LOCAL
       }

[domain_realm]
       .file.demo.local = FILE.DEMO.LOCAL
       file.demo.local = FILE.DEMO.LOCAL

  4. Jalankan layanan rpc-gssd. Tambahkan nilai atribut No-Strip berikut ke bagian [General] di dalam /etc/idmapd.conf:

     [General]
 No-Strip = both

  5. Jalankan perintah berikut:

    sudo systemctl restart rpc-gssd

Image Centos

  1. Lakukan SSH ke instance Compute Engine.

  2. Bergabung ke domain Microsoft AD Terkelola:

    sudo yum update \
sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients

  3. Selesaikan salah satu langkah berikut:

    • Untuk VM dengan panjang nama host kurang dari atau sama dengan 15 karakter, jalankan perintah berikut:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

      Ganti kode berikut:

      • JOIN_DOMAIN_USER adalah nama akun pengguna yang digunakan untuk bergabung ke domain.
      • MANAGED_AD_DOMAIN_NAME adalah nama domain layanan Microsoft AD Terkelola yang ingin Anda gunakan.

    • Untuk VM dengan panjang nama host lebih dari 15 karakter, jalankan perintah berikut:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

      Ganti kode berikut:

      • JOIN_DOMAIN_USER adalah nama akun pengguna yang digunakan untuk bergabung ke domain.
      • MANAGED_AD_REALM_NAME adalah nama realm layanan Microsoft AD Terkelola yang ingin Anda gunakan.
      • MANAGED_AD_DOMAIN_NAME adalah nama domain layanan Microsoft AD Terkelola yang ingin Anda gunakan.

  4. Pastikan layanan sssd berjalan:

    sudo systemctl status sssd

  5. Jalankan layanan rpc-gssd. Tambahkan kode berikut di bawah nilai atribut No-Strip ke bagian [General] di dalam /etc/idmapd.conf:

    [General]
No-Strip = both

  6. Jalankan perintah berikut. Perintah ini membantu memastikan klien NFS tidak akan menghapus nama domain dari nama host server NFS. Untuk mengetahui informasi selengkapnya, lihat NFS Ganesha List Archives dan Arch Linux Archive:

    sudo systemctl start rpc-gssd

Memutuskan koneksi dan menghubungkan kembali ke Microsoft AD Terkelola dari instance Filestore

Konsol Google Cloud

Memutuskan koneksi Microsoft AD Terkelola dari instance Filestore

  1. Putuskan koneksi instance Filestore yang terhubung ke Microsoft AD Terkelola.

    Di konsol Google Cloud, buka halaman Filestore Instances.

    Buka halaman instance Filestore

  2. Klik ID instance instance yang ingin diedit.

  3. Di panel NFS mount point, pada bagian Protocol, di samping Directory service name, klik Disconnect AD domain.

  4. Di jendela Putus koneksi dari domain gagal, baca pemberitahuan, lalu, klik Edit instance.

    Setidaknya satu aturan di Kontrol akses harus dipetakan ke peran Administrator dengan setelan keamanan pemasangan sys, seperti, Access=Admin Mount dan sec=sys.

  5. Di panel Edit share, temukan aturan dengan Access ditetapkan ke Admin. Klik Mount sec= ..., lalu pilih sys untuk menambahkan opsi tersebut ke setelan yang ada.

  6. Klik Oke.

  7. Klik Simpan.

  8. Di samping Nama layanan direktori, klik Putuskan koneksi domain AD.

  9. Di kolom pada jendela Disconnect from domain?, masukkan nama domain yang ingin Anda putuskan.

  10. Klik Putuskan sambungan.

Mengedit aturan akses

  1. Muat ulang halaman. Perhatikan bahwa Nama layanan direktori kini disetel ke Tidak ada.

  2. Klik Edit.

  3. Di panel Edit share, temukan aturan yang menetapkan akses untuk peran selain Admin, seperti Editor. Pada aturan, klik Mount sec= ..., lalu pilih sys untuk menambahkannya ke setelan yang ada. Klik Oke.

  4. Klik Simpan.

  5. Muat ulang halaman.

    Setelan aturan diperbarui.

Menghubungkan kembali Microsoft AD Terkelola ke instance Filestore

  1. Hubungkan kembali instance Filestore ke Microsoft AD Terkelola.

    Di panel NFS mount point, pada bagian Protocol, di samping Directory service name, klik Join AD domain.

  2. Di jendela Join this instance to an Active Directory Domain, pilih Use domains from the current project, di menu Join an Active Directory Domain, pilih domain yang ingin Anda gunakan.

  3. Di menu Nama akun komputer, masukkan nama.

  4. Klik Gabung ke Domain.

  5. Muat ulang halaman. Perhatikan bahwa Nama layanan direktori telah diperbarui dengan pilihan Anda.

  6. Klik Edit.

  7. Di panel Edit share, klik Mount sec= ... di semua aturan yang berlaku dan hapus pemilihan sys. Klik Oke.

  8. Klik Simpan.

  9. Muat ulang halaman.

    Setelan aturan diperbarui.

Langkah selanjutnya