Configura il protocollo NFSv4.1

La guida riportata di seguito mostra come implementare il protocollo NFSv4.1 con una nuova istanza Filestore.

Informazioni su NFSv4.1

Filestore offre il supporto del protocollo NFSv4.1 per le istanze create nei seguenti livelli di servizio:

  • A livello di zona
  • Regionale
  • Aziende

Questa funzionalità può essere integrata con Managed Service for Microsoft Active Directory (Managed Microsoft AD) per supportare i carichi di lavoro che richiedono l'autenticazione del client e del server, i controlli di integrità dei dati dei messaggi e la crittografia dei dati in transito, funzionalità precedentemente non disponibili in Filestore.

  • L'autenticazione è supportata tramite LDAP e Kerberos e include i seguenti tipi di sicurezza (impostazioni):

    • Autenticazione client e server (krb5).
    • Controlli di integrità dei messaggi (krb5i). Include le funzionalità dell'impostazione precedente.
    • Crittografia dei dati in transito (krb5p). Include le funzionalità dell'impostazione precedente.

AD di Microsoft gestito è l'unica soluzione Google Cloud completamente gestita che supporta sia LDAP sia Kerberos, i requisiti per il protocollo NFSv4.1 e i relativi vantaggi in termini di sicurezza e privacy. Sebbene l'integrazione con AD di Microsoft gestito non sia obbligatoria, è vivamente consigliata per un'esperienza utente ottimale di Google Cloud per gestire gli account utente e i gruppi e le autorizzazioni in continua evoluzione.

Dovresti utilizzare NFSv4.1?

Molte organizzazioni aziendali si affidano a sistemi legacy per le operazioni di business critiche. Molti di questi sistemi richiedono l'autenticazione e la crittografia in transito per l'archiviazione dei file di rete. NFSv3 non è stato progettato tenendo conto dell'autenticazione. L'integrazione del protocollo NFSv4.1 di Filestore con AD di Microsoft gestito ora soddisfa questo requisito utente fondamentale.

Obiettivi

In questa guida imparerai a completare le seguenti attività:

Crea un'istanza Filestore che utilizza NFSv4.1

Per utilizzare Microsoft Active Directory gestito con un'istanza Filestore, il dominio di Microsoft Active Directory gestito deve essere creato prima dell'istanza Filestore.

Prima di iniziare

  1. Sia il dominio Managed Microsoft AD sia l'istanza Filestore devono utilizzare la stessa VPC nello stesso progetto.

    Se il servizio Managed Microsoft AD è ospitato in un progetto separato dall'istanza Filestore che vuoi utilizzare, la rete VPC di Filestore deve essere accoppiata al dominio Managed Microsoft AD.

    Per ulteriori informazioni, consulta Eseguire il deployment di Microsoft AD gestito con accesso tra progetti utilizzando il peering di dominio.

  2. Completa tutti i passaggi di configurazione per creare un'istanza di Filestore.

  3. Assicurati che gli utenti di Microsoft Active Directory gestito abbiano compilato i campi POSIX RFC 2307 e RFC 2307bis, in modo simile a quanto segue.

    Per ulteriori informazioni su come configurare gli oggetti in Microsoft AD gestito, consulta Oggetti Active Directory gestiti.

    Utenti e computer di Active Directory

    I passaggi riportati di seguito descrivono gli attributi da impostare per gli utenti e i gruppi LDAP. Puoi gestire gli attributi POSIX utilizzando lo snap-in MMC Utenti e computer di Active Directory.

    Per aprire Attribute Editor:

    1. Fai clic su Avvia.
    2. Fai clic su Strumenti di amministrazione di Windows e seleziona Utenti e computer di Active Directory.

      Viene visualizzata la finestra Utenti e computer di Active Directory.

    3. Seleziona il nome di dominio che vuoi visualizzare. Per espandere i contenuti, fai clic sulla freccia di espansione.

    4. Nel menu Visualizza di Utenti e computer di Active Directory, seleziona Funzionalità avanzate.

    5. Nel riquadro a sinistra, fai doppio clic su Utenti.

    6. Nell'elenco degli utenti, fai doppio clic su un utente per visualizzare la scheda Editor attributi.

      Gli utenti LDAP devono avere impostato i seguenti attributi:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Ogni utente deve avere un uidNumber univoco. Tieni presente che il valore dell'attributo uid è sensibile alle maiuscole. Per l'attributo objectClass, user è l'impostazione predefinita nella maggior parte dei deployment di Active Directory (AD). Di seguito è riportato un esempio:

      uid: Alice
      uidNumber: 139
      gidNumber: 555
      objectClass: user
      

      I gruppi LDAP devono avere impostato i seguenti attributi:

      • cn
      • gidNumber
      • objectClass

      Ogni gruppo deve avere un gidNumber univoco. Tieni presente che il valore dell'attributo cn è sensibile alle maiuscole. Per l'attributo objectClass, group è l'impostazione predefinita nella maggior parte dei deployment di AD. Di seguito è riportato un esempio:

      cn: AliceGroup
      gidNumber: 555
      objectClass: group
      
  4. Concedi a Filestore l'accesso per creare e gestire oggetti in AD di Microsoft gestito utilizzando il comando gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
    --member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
    --format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
    --role=roles/managedidentities.filestoreintegrator
    

    Sostituisci quanto segue:

    • MANAGED_MICROSOFT_AD_PROJECT_ID è l'ID progetto in cui si trova il dominio Microsoft AD gestito.
    • PROJECT_ID è l'ID progetto in cui si trova l'istanza Filestore.

    Potresti visualizzare un errore simile al seguente:

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.
    

    In questo caso, utilizza il seguente comando per risolverlo:

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID
    

Creare un'istanza di Filestore con o senza Microsoft AD gestito

In questa sezione, creerai un'istanza Filestore configurata per l'utilizzo con il protocollo NFSv4.1. Sono inclusi passaggi facoltativi per gli utenti che scelgono di non utilizzare AD Microsoft gestito.

  • Assicurati di disporre di una quota sufficiente.

    La quota di istanze varia in base alla posizione della regione e al livello di servizio che vuoi utilizzare. Per aumentare la quota disponibile, devi inviare una richiesta di aumento della quota.

Console Google Cloud

Configura i parametri dell'istanza

  1. Nella console Google Cloud, vai alla pagina Istanze Filestore.

    Vai alla pagina delle istanze Filestore

  2. Fai clic su Crea istanza.

  3. Specifica i parametri di base dell'istanza, inclusi il nome, il tipo di istanza e la capacità:

    1. Nel campo ID istanza, inserisci il nome che vuoi assegnare all'istanza Filestore.
    2. In Tipo di istanza, seleziona Regionale o A livello di zona.

      Per creare un'istanza aziendale, devi eseguire le operazioni direttamente tramite l'API Filestore.

    3. In Capacità allocata, inserisci la capacità che vuoi utilizzare. Devi inserire un valore compreso tra 1 TB e 10 TB, con incrementi di 256 GB (0,25 TiB).

    4. In Regione, seleziona la regione che vuoi utilizzare.

    5. In Rete VPC, seleziona la rete che vuoi utilizzare per l'istanza Filestore e i client NFS.

      • Se Microsoft Active Directory gestito si trova nello stesso progetto dell'istanza Filestore, la rete VPC deve essere autorizzata nel dominio Microsoft Active Directory gestito.
      • Se Microsoft AD gestito si trova in un progetto separato, la rete VPC deve essere configurata con il peering di rete Active Directory nella configurazione di Microsoft AD gestito.
    6. In Intervallo IP allocato, seleziona Utilizza un intervallo IP allocato automaticamente (scelta consigliata).

    7. In Protocollo, seleziona NFSv4.1.

Configura le impostazioni di autenticazione dell'istanza

  1. Configura le impostazioni di autenticazione dell'istanza.
    1. Fai clic su Authentication (Autenticazione).
    2. Seleziona il progetto che ospita AD Microsoft gestito. Ai fini di questa guida, assumeremo che il progetto corrente sia quello che vogliamo utilizzare.
    3. Nell'elenco Unisci a un dominio Active Directory, seleziona il dominio Microsoft AD gestito che vuoi utilizzare.
    4. Nel campo Computer account name (Nome account computer), inserisci il nome dell'account computer che vuoi utilizzare per identificare l'istanza Filestore nel dominio AD Microsoft gestito. Il nome è limitato a 15 caratteri alfanumerici.
    5. Nel campo Nome condivisione file, inserisci il nome della condivisione che verrà utilizzato dai client NFSv4.1.
  2. Nel riquadro Controllo accesso, completa uno dei seguenti passaggi:

    • Se utilizzi Microsoft AD gestito, seleziona Limita accesso in base all'indirizzo o all'intervallo IP.

      1. Imposta la regola di accesso in base all'IP o alla subnet che vuoi definire. Ai fini di questa guida, utilizza le seguenti impostazioni:
      2. Nel campo Indirizzo IP o intervallo 1, inserisci l'indirizzo IP o l'intervallo di indirizzi IP che vuoi utilizzare.
      3. Fai clic sull'elenco a discesa Accesso 1 e seleziona Amministratore.
      4. Fai clic sull'elenco a discesa Mountsec= 1 e seleziona la casella di controllo sys.

      Il proprietario / predefinito di Filestore è root. Per attivare l'accesso all'istanza per altri utenti e gruppi, devi creare una regola di accesso che consenta l'accesso alla VM di gestione utilizzando il ruolo Admin e l'impostazione di sicurezza sec=sys.

    • Se non utilizzi Microsoft Active Directory gestito, seleziona Concedi l'accesso a tutti i client della rete VPC.

      Se non viene utilizzato AD Microsoft gestito, l'unica impostazione di sicurezza supportata è sec=sys.

  3. Fai clic sul pulsante Crea per creare l'istanza.

gcloud

  1. Installa e inizializza la gcloud CLI.

    Se hai già installato gcloud CLI, esegui il seguente comando per aggiornarlo:

    gcloud components update
    
  2. Completa uno dei seguenti passaggi:

    1. Se utilizzi AD di Microsoft gestito, esegui il seguente gcloud beta filestore instances create comando per creare un'istanza Filestore zonale, regionale o aziendale:

      gcloud beta filestore instances create INSTANCE-ID \
      --description="DESCRIPTION" \
      --region=LOCATION \
      --tier=TIER \
      --protocol=PROTOCOL \
      --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
      --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
      --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
      --project=CONSUMER_PROJECT_ID
      

      Sostituisci quanto segue:

      • INSTANCE_ID è l'ID istanza dell'istanza Filestore che vuoi creare. Consulta Assegnare un nome all'istanza.
      • DESCRIPTION è una descrizione dell'istanza che vuoi utilizzare.
      • LOCATION è la posizione in cui vuoi che risieda l'istanza Filestore.
      • TIER è il livello di servizio che vuoi utilizzare.
      • PROTOCOL è NFS_v4_1.
      • FILE_SHARE_NAME è il nome specificato per la condivisione file NFS pubblicata dall'istanza.
      • CAPACITY è la dimensione che vuoi per la condivisione dei file, tra 1 e 10 TiB.
      • VPC_NETWORK è il nome della rete VPC che vuoi che venga utilizzata dall'istanza. Vedi Seleziona la rete VPC. Se vuoi specificare un VPC condiviso da un progetto di servizio, devi specificare il nome della rete completo, che è nel formatoprojects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME e devi specificare connect-mode=PRIVATE_SERVICE_ACCESS, simile a quanto segue:

        --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

        Non puoi specificare una rete precedente per il valore vpc_network. Se necessario, crea una nuova rete VPC da utilizzare seguendo le istruzioni riportate in Creare una rete VPC in modalità automatica.

      • MANAGED_AD_PROJECT_ID è l'ID progetto in cui si trova il servizio Managed Microsoft AD.

      • MANAGED_AD_DOMAIN_NAME è il nome di dominio del servizio Managed Microsoft AD che vuoi utilizzare. Si tratta del nome del dominio che scegli quando crei un dominio AD di Microsoft gestito.

      • DOMAIN_COMPUTER_ACCOUNT è un nome qualsiasi che vuoi assegnare al cluster nel dominio.

      • CONSUMER_PROJECT_ID è l'ID del progetto che contiene l'istanza Filestore.

      • CONNECT_MODE è DIRECT_PEERING o PRIVATE_SERVICE_ACCESS. Se specifichi una rete VPC condiviso come rete, devi anche specificare PRIVATE_SERVICE_ACCESS come modalità di connessione. Questo flag è obbligatorio per il peering di rete VPC, un requisito quando si utilizza Microsoft Active Directory gestito.

      • RESERVED_IP_RANGE è l'intervallo di indirizzi IP per l'istanza Filestore. Se specifichi connect-mode=PRIVATE_SERVICE_ACCESS e vuoi utilizzare un intervallo di indirizzi IP riservato, devi specificare il nome di un intervallo di indirizzi allocati anziché un intervallo CIDR. Consulta Configurare un indirizzo IP riservato. Ti consigliamo di saltare questo flag per consentire a Filestore di trovare automaticamente un intervallo di indirizzi IP liberi e di assegnarlo all'istanza.

    2. Se non utilizzi Microsoft Active Directory gestito, esegui lo stesso comando del passaggio precedente per creare un'istanza Filestore, omettendo il flag --managed-ad e i flag per il peering di rete VPC, ovvero connect-mode e reserved-ip-range. Utilizza il seguente comando come esempio:

      gcloud beta filestore instances create INSTANCE-ID \
      --description="DESCRIPTION" \
      --region=LOCATION \
      --tier=TIER \
      --protocol=PROTOCOL \
      --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
      --network=name="VPC_NETWORK" \
      --project=CONSUMER_PROJECT_ID
      

Informazioni sugli elenchi di controllo dell'accesso dell'accesso (ACL) basati sulla rete in NFSv4.1.

In NFSv3 è supportato solo il tipo di sicurezza sys. Questa impostazione considera attendibili gli utenti uid e gid forniti dal client durante il montaggio.

Nel protocollo NFSv4.1 di Filestore sono disponibili diversi tipi di impostazioni di sicurezza ACL di rete:

  • krb5

    Autentica il client utilizzando un ticket Kerberos, che viene convalidato nei confronti del server Kerberos di Microsoft AD gestito.

  • krb5i

    Include l'autenticazione fornita da krb5 e utilizza anche Kerberos per eseguire verifiche dell'integrità dei messaggi su tutto il traffico di rete verso e dalla istanza.

  • krb5p

    Include l'autenticazione fornita da krb5 e i controlli di integrità dei messaggi di krb5i e utilizza anche Kerberos per la crittografia dei dati in transito.

Se vuoi usufruire di queste opzioni, è obbligatoria l'integrazione di Managed Service for Microsoft Active Directory.

Se non viene specificato un dominio Managed Service for Microsoft Active Directory, è supportato solo il tipo di sicurezza sys.

Per ulteriori informazioni, consulta le limitazioni di NFSv4.1.

Montaggio di istanze Filestore NFSv4.1 su client Linux

I passaggi riportati di seguito mostrano come montare le istanze sui client Linux.

  • Esegui il montaggio con sec=sys per le autorizzazioni NFS standard:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT
    
  • Esegui il montaggio con sec=krb5 per l'autenticazione basata su Kerberos:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT
    
  • Esegui il montaggio con sec=krb5i per i controlli di autenticazione e integrità dei messaggi basati su Kerberos:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT
    
  • Esegui il montaggio con sec=krb5p per l'autenticazione, i controlli di integrità e la crittografia in transito basati su Kerberos:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT
    

    Sostituisci quanto segue:

    • FILESTORE-INSTANCE-FQDN è il nome di dominio completo in cui si trova l'istanza Filestore.
    • INSTANCE_SHARE_POINT è il nome della condivisione file dell'istanza Filestore che vuoi collegare.
    • MOUNT_POINT è il punto di montaggio o il nome della directory in cui vuoi eseguire il montaggio.

Configurazione del client Linux

Un'istanza Filestore NFSv4.1 consente ai client di eseguire operazioni NFS utilizzando vari tipi di sicurezza. Questi tipi vengono configurati dall'amministratore dell'istanza tramite ACL di rete sull'istanza Filestore NFSv4.1, durante la creazione o se aggiornati dopo la creazione.

La versione di sicurezza sys utilizza l'autenticazione Unix standard, mentre le versioni krb5, krb5i e krb5p utilizzano l'autenticazione basata su Kerberos.

Le versioni krb5, krb5i e krb5p richiedono che i client siano collegati allo stesso dominio Microsoft AD gestito dell'istanza Filestore. Completa i seguenti passaggi appropriati per il tuo ambiente.

Immagine Ubuntu

  1. Connettiti all'istanza Compute Engine tramite SSH.
  2. Esegui i seguenti comandi per partecipare al dominio Microsoft AD gestito.

    1. Esegui il seguente comando di configurazione:

      sudo apt-get update \
      sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry
      
    2. Quando ti viene chiesto il realm, sostituisci la voce esistente con il dominio Microsoft AD gestito utilizzato nell'istanza Filestore. Inserisci il valore in maiuscolo, quindi premi il tasto con la freccia per selezionare OK e poi premi Invio.

    3. Quando ti viene chiesto di inserire gli host, lascia il campo vuoto e procedi.

    4. Completa uno dei seguenti passaggi:

      • Per le VM con un nome host di lunghezza inferiore o uguale a 15 caratteri, esegui il seguente comando:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME
        

        Sostituisci quanto segue:

        • JOIN_DOMAIN_USER è il nome dell'account utente utilizzato per partecipare al dominio.
        • MANAGED_AD_DOMAIN_NAME è il nome di dominio del servizio Managed Microsoft AD che vuoi utilizzare.
      • Per le VM con un nome host lungo più di 15 caratteri, esegui il seguente comando:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME
        

        Sostituisci quanto segue:

        • JOIN_DOMAIN_USER è il nome dell'account utente utilizzato per partecipare al dominio.
        • MANAGED_AD_REALM_NAME è il nome del realm del servizio Managed Microsoft AD che vuoi utilizzare.
        • MANAGED_AD_DOMAIN_NAME è il nome di dominio del servizio Managed Microsoft AD che vuoi utilizzare.
  3. Aggiorna la configurazione Kerberos. Aggiorna /etc/krb5.conf con la definizione del realm e la mappatura del realm al dominio richiesti:

     [realms]
              DOMAIN_NAME = {
                       kdc = DOMAIN_NAME
                       default_domain = DOMAIN_NAME
              }
     [domain_realm]
              .domain_name_lowercase = DOMAIN_NAME
              domain_name_lowercase = DOMAIN_NAME
    

    Sostituisci quanto segue:

    • DOMAIN_NAME è il nome di dominio che vuoi utilizzare, inserito in lettere maiuscole.
    • domain_name_lowercase è il nome di dominio che vuoi utilizzare, inserito in minuscolo.

    Di seguito è riportato un esempio:

    [realms]
           FILE.DEMO.LOCAL = {
                    kdc = FILE.DEMO.LOCAL
                    default_domain = FILE.DEMO.LOCAL
           }
    
    [domain_realm]
           .file.demo.local = FILE.DEMO.LOCAL
           file.demo.local = FILE.DEMO.LOCAL
    
  4. Esegui il servizio rpc-gssd. Aggiungi il seguente valore dell'attributo No-Strip alla sezione [General] all'interno di /etc/idmapd.conf:

     [General]
     No-Strip = both
    
  5. Esegui questo comando:

    sudo systemctl restart rpc-gssd
    

Immagine di CentOS

  1. Accedi tramite SSH all'istanza Compute Engine.
  2. Aggiungi il dominio Microsoft AD gestito:

    sudo yum update \
    sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients
    
  3. Completa uno dei seguenti passaggi:

    • Per le VM con un nome host di lunghezza inferiore o uguale a 15 caratteri, esegui il seguente comando:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME
      

      Sostituisci quanto segue:

      • JOIN_DOMAIN_USER è il nome dell'account utente utilizzato per partecipare al dominio.
      • MANAGED_AD_DOMAIN_NAME è il nome di dominio del servizio Managed Microsoft AD che vuoi utilizzare.
    • Per le VM con un nome host di lunghezza superiore a 15 caratteri, esegui il seguente comando:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME
      

      Sostituisci quanto segue:

      • JOIN_DOMAIN_USER è il nome dell'account utente utilizzato per partecipare al dominio.
      • MANAGED_AD_REALM_NAME è il nome del realm del servizio Managed Microsoft AD che vuoi utilizzare.
      • MANAGED_AD_DOMAIN_NAME è il nome di dominio del servizio Managed Microsoft AD che vuoi utilizzare.
  4. Assicurati che il servizio sssd sia in esecuzione:

    sudo systemctl status sssd
    
  5. Esegui il servizio rpc-gssd. Aggiungi quanto segue sotto il valore dell'attributo No-Strip alla sezione [General] all'interno di /etc/idmapd.conf:

    [General]
    No-Strip = both
    
  6. Esegui questo comando. Questo comando contribuisce ad assicurare che il client NFS non elimini il nome di dominio dall'hostname del server NFS. Per ulteriori informazioni, consulta gli archivi dell'elenco NFS Ganesha e l'archivio Arch Linux:

    sudo systemctl start rpc-gssd
    

Scollegare e ricollegare Managed Microsoft AD da un'istanza Filestore

Console Google Cloud

Scollegare un Microsoft AD gestito da un'istanza Filestore

  1. Scollega un'istanza Filestore collegata ad AD Microsoft gestito.

    Nella console Google Cloud, vai alla pagina Istanze Filestore.

    Vai alla pagina delle istanze Filestore

  2. Fai clic sull'ID istanza che vuoi modificare.

  3. Nel riquadro Punto di montaggio NFS, in Protocollo, accanto a Nome servizio directory, fai clic su Scollega dominio AD.

  4. Nella finestra Disconnessione dal dominio non riuscita, leggi l'avviso e poi fai clic su Modifica istanza.

    Almeno una regola in Controllo dell'accesso deve essere mappata al ruolo Amministratore con l'impostazione di sicurezza del montaggio sys, ad esempio Accesso=Amministratore montaggio e sec=sys.

  5. Nel riquadro Modifica condivisione, individua la regola in cui Accesso è impostato su Amministratore. Fai clic su Monta sec= ... e seleziona sys per aggiungere l'opzione all'impostazione esistente.

  6. Fai clic su OK.

  7. Fai clic su Salva.

  8. Accanto a Nome del servizio directory, fai clic su Scollega dominio AD.

  9. Nel campo della finestra Disconnettere dal dominio?, inserisci il nome del dominio da cui vuoi disconnetterti.

  10. Fai clic su Disconnetti.

Modifica le regole di accesso

  1. Aggiorna la pagina. Tieni presente che Nome servizio directory è ora impostato su Nessuno.

  2. Fai clic su Modifica.

  3. Nel riquadro Modifica condivisione, individua eventuali regole che impostano l'accesso per un ruolo diverso da Amministratore, ad esempio Editor. Nella regola, fai clic su Monta sec= ... e seleziona sys per aggiungerlo all'impostazione existente. Fai clic su OK.

  4. Fai clic su Salva.

  5. Aggiorna la pagina.

    Le impostazioni della regola vengono aggiornate.

Ricollegare un dominio Microsoft AD gestito a un'istanza Filestore

  1. Riconnetti un'istanza Filestore a Managed Microsoft AD.

    Nel riquadro Punto di montaggio NFS, in Protocollo, accanto a Nome servizio directory, fai clic su Unisci al dominio AD.

  2. Nella finestra Unisci questa istanza a un dominio Active Directory, selezionate Usa i domini del progetto attuale, nel menu Unisci un dominio Active Directory, selezionate il dominio che volete utilizzare.

  3. Nel menu Nome account computer, inserisci un nome.

  4. Fai clic su Join Domain (Unisciti al dominio).

  5. Aggiorna la pagina. Tieni presente che il nome del servizio Directory è stato aggiornato con la tua selezione.

  6. Fai clic su Modifica.

  7. Nel riquadro Modifica condivisione, fai clic su Monta sec= ... in tutte le regole applicabili e rimuovi la selezione sys. Fai clic su OK.

  8. Fai clic su Salva.

  9. Aggiorna la pagina.

    Le impostazioni della regola vengono aggiornate.

Passaggi successivi