Configurer le protocole NFSv4.1

Le guide suivant explique comment mettre en œuvre le protocole NFSv4.1 avec une nouvelle instance Filestore.

À propos de NFSv4.1

Filestore est compatible avec le protocole NFSv4.1 (Preview) pour les instances créées dans les niveaux de service d'entreprise ou zonaux.

Cette fonctionnalité peut être intégrée au service géré pour Microsoft Active Directory (service Microsoft AD géré) afin de prendre en charge les charges de travail qui nécessitent une authentification du client et du serveur, des vérifications de l'intégrité des données de message et le chiffrement des données en transit, des fonctionnalités qui n'étaient auparavant pas disponibles dans Filestore.

  • L'authentification est compatible avec LDAP et Kerberos et inclut les types de sécurité (paramètres) suivants :

    • Authentification du client et du serveur (krb5).
    • Contrôles d'intégrité des messages (krb5i). Inclut les fonctionnalités du paramètre précédent.
    • Chiffrement des données en transit (krb5p). Inclut les fonctionnalités du paramètre précédent.

Le service Microsoft AD géré est la seule solution Google Cloud entièrement gérée qui soit compatible avec LDAP et Kerberos, les exigences du protocole NFSv4.1 et ses avantages en termes de sécurité et de confidentialité. Bien que l'intégration au service Microsoft AD géré ne soit pas requise, elle est vivement recommandée pour une expérience utilisateur optimale dans Google Cloud afin de gérer les comptes utilisateur ainsi que les groupes et les autorisations fluctuants.

Faut-il utiliser NFSv4.1 ?

De nombreuses entreprises s'appuient sur d'anciens systèmes pour effectuer leurs opérations stratégiques. Bon nombre de ces systèmes nécessitent une authentification et un chiffrement en transit pour le stockage des fichiers réseau. NFSv3 n'a pas été conçu pour l'authentification. L'intégration du protocole NFSv4.1 de Filestore au service Microsoft AD géré répond désormais à cette exigence critique des utilisateurs.

Objectifs

Dans ce guide, vous apprendrez à effectuer les tâches suivantes:

Créer une instance Filestore qui utilise NFSv4.1

Pour utiliser le service Microsoft AD géré avec une instance Filestore, le domaine Microsoft AD géré doit être créé avant l'instance Filestore.

Avant de commencer

  1. Le domaine Microsoft AD géré et l'instance Filestore doivent utiliser le même VPC sur le même projet.

    Si votre service Microsoft AD géré est hébergé dans un projet distinct de l'instance Filestore que vous souhaitez utiliser, le réseau VPC Filestore doit être appairé au domaine Microsoft AD géré.

    Pour en savoir plus, consultez la page Déployer le service Microsoft AD géré avec un accès inter-projets à l'aide de l'appairage de domaines.

  2. Effectuez toutes les étapes de configuration pour créer une instance Filestore.

  3. Assurez-vous que les champs POSIX RFC 2307 et RFC 2307bis sont renseignés, comme illustré ci-dessous, pour les utilisateurs Microsoft AD gérés.

    Pour en savoir plus sur la configuration d'objets dans le service Microsoft AD géré, consultez la page Objets Active Directory gérés.

    Utilisateurs et ordinateurs Active Directory

    Les étapes suivantes décrivent les attributs que vous devez définir pour les utilisateurs et les groupes LDAP. Vous pouvez gérer les attributs POSIX à l'aide du composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory.

    Pour ouvrir l'éditeur d'attributs, procédez comme suit:

    1. Cliquez sur Démarrer.

    2. Cliquez sur Outils d'administration Windows, puis sélectionnez Utilisateurs et ordinateurs Active Directory.

      La fenêtre Utilisateurs et ordinateurs Active Directory s'ouvre.

    3. Sélectionnez le nom de domaine que vous souhaitez afficher. Pour développer son contenu, cliquez sur la flèche de développement .

    4. Dans le menu Afficher des utilisateurs et des ordinateurs Active Directory, sélectionnez Fonctionnalités avancées.

    5. Dans le volet de gauche, double-cliquez sur Utilisateurs.

    6. Dans la liste des utilisateurs, double-cliquez sur un utilisateur pour afficher l'onglet Attribute Editor (Éditeur d'attributs).

      Les attributs suivants doivent être définis pour les utilisateurs LDAP:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Chaque utilisateur doit avoir un uidNumber unique. Notez que la valeur de l'attribut uid est sensible à la casse. Pour l'attribut objectClass, user est le paramètre par défaut sur la plupart des déploiements Active Directory (AD). En voici un exemple :

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Les attributs suivants doivent être définis pour les groupes LDAP:

      • cn
      • gidNumber
      • objectClass

      Chaque groupe doit posséder un gidNumber unique. Notez que la valeur de l'attribut cn est sensible à la casse. Pour l'attribut objectClass, group est le paramètre par défaut sur la plupart des déploiements AD. Voici un exemple:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Accordez à Filestore l'accès pour créer et gérer des objets dans le service Microsoft AD géré à l'aide de la commande gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(PROJECT_ID)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Remplacez les éléments suivants :

    • MANAGED_MICROSOFT_AD_PROJECT_ID est l'ID du projet contenant le domaine Microsoft AD géré.
    • PROJECT_ID est l'ID du projet dans lequel se trouve l'instance Filestore.

    Le message d'erreur suivant peut s'afficher:

    INVALID_ARGUMENT: Service account service-PROJECT_ID@cloud-filer.iam.gserviceaccount.com does not exist.

    Le cas échéant, exécutez la commande suivante pour résoudre le problème:

    gcloud beta services identity create --service=file.googleapis.com -project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Créer une instance Filestore avec ou sans service Microsoft AD géré

Dans cette section, vous allez créer une instance Filestore configurée pour être utilisée avec le protocole NFSv4.1. Des étapes facultatives sont incluses pour les utilisateurs qui choisissent de ne pas utiliser le service Microsoft AD géré.

  • Assurez-vous de disposer d'un quota suffisant.

    Plages de quota des instances en fonction de l'emplacement de la région et du niveau de service que vous souhaitez utiliser. Pour augmenter le quota disponible, vous devez envoyer une demande d'augmentation de quota.

console Google Cloud

Configurer les paramètres de l'instance

  1. Dans la console Google Cloud, accédez à la page des instances Filestore.

    Accéder à la page des instances Filestore

  2. Cliquez sur Créer une instance.

  3. Spécifiez les paramètres de base de l'instance, y compris son nom, son type et sa capacité:

    1. Dans le champ ID d'instance, saisissez le nom que vous souhaitez utiliser pour l'instance Filestore.
    2. Dans Type d'instance, sélectionnez Entreprise ou Zonal.
    3. Dans le champ Capacité allouée, saisissez la capacité que vous souhaitez utiliser. Vous devez saisir une valeur comprise entre 1 To et 10 To, par incréments de 256 Gio (0,25 Tio).
    4. Dans Région, sélectionnez la région que vous souhaitez utiliser.
    5. Dans Réseau VPC, sélectionnez le réseau que vous souhaitez utiliser pour l'instance Filestore et les clients NFS.
      • Si le service Microsoft AD géré se trouve dans le même projet que l'instance Filestore, le réseau VPC doit être autorisé dans le domaine Microsoft AD géré.
      • Si le service Microsoft AD géré se trouve dans un projet distinct, le réseau VPC doit être configuré avec l'appairage de réseaux Active Directory sur la configuration du service Microsoft AD géré.
    6. Dans Plage d'adresses IP allouée, sélectionnez Utiliser une plage d'adresses IP automatiquement allouée (recommandé).
    7. Dans Protocole, sélectionnez NFSv4.1.

Configurer les paramètres d'authentification de l'instance

  1. Configurez les paramètres d'authentification de l'instance.
    1. Cliquez sur Authentification.
    2. Sélectionnez le projet hébergeant le service Microsoft AD géré. Pour les besoins de ce guide, nous partons du principe que le projet en cours est celui que nous souhaitons utiliser.
    3. Dans la liste Rejoindre un domaine Active Directory, sélectionnez le domaine Microsoft AD géré que vous souhaitez utiliser.
    4. Dans le champ Nom du compte d'ordinateur, saisissez le nom du compte d'ordinateur que vous souhaitez utiliser pour identifier l'instance Filestore dans le domaine Microsoft AD géré. Le nom est limité à 15 caractères alphanumériques.
    5. Dans le champ Nom du partage de fichiers, saisissez le nom du partage tel qu'il sera utilisé par les clients NFSv4.1.

  2. Dans le volet Contrôle des accès, effectuez l'une des opérations suivantes:

    • Si vous utilisez le service Microsoft AD géré, sélectionnez Restreindre l'accès par adresse IP ou plage d'adresses IP.

      1. Définissez la règle d'accès selon l'adresse IP ou le sous-réseau que vous souhaitez définir. Pour les besoins de ce guide, utilisez les paramètres suivants:
      2. Dans le champ Adresse IP ou plage 1, saisissez l'adresse IP ou la plage d'adresses IP que vous souhaitez utiliser.
      3. Cliquez sur la liste déroulante Accès 1, puis sélectionnez Admin.
      4. Cliquez sur la liste déroulante Mountsec= 1 (Installer 1), puis cochez la case sys (système).

      Le propriétaire / par défaut de Filestore est root. Pour autoriser d'autres utilisateurs et groupes à accéder à l'instance, vous devez créer une règle d'accès qui active l'accès de la VM de gestion à l'aide du rôle Admin et du paramètre de sécurité sec=sys.

    • Si vous n'utilisez pas le service Microsoft AD géré, sélectionnez Accorder l'accès à tous les clients sur le réseau VPC.

      Si le service Microsoft AD géré n'est pas utilisé, le seul paramètre de sécurité compatible est sec=sys.

  3. Cliquez sur Créer pour créer l'instance.

gcloud

  1. Installez et initialisez la gcloud CLI.

    Si la gcloud CLI est déjà installée, exécutez la commande suivante pour la mettre à jour:

    gcloud components update

  2. Effectuez l'une des opérations suivantes:

    1. Si vous utilisez le service Microsoft AD géré, exécutez la commande gcloud beta filestore instances create suivante pour créer une instance d'entreprise ou zonale Filestore:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
--managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
--project=CONSUMER_PROJECT_ID

      Remplacez les éléments suivants :

      • INSTANCE_ID correspond à l'ID de l'instance Filestore que vous souhaitez créer. Consultez la section Attribuer un nom à l'instance.
      • DESCRIPTION est la description de l'instance que vous souhaitez utiliser.
      • LOCATION est l'emplacement où vous souhaitez que l'instance Filestore réside.
      • TIER correspond au niveau de service que vous souhaitez utiliser.
      • PROTOCOL est NFS_v4_1.
      • FILE_SHARE_NAME est le nom que vous spécifiez pour le partage de fichiers NFS diffusé à partir de l'instance.
      • CAPACITY correspond à la taille souhaitée pour le partage de fichiers, entre 1 Tio et 10 Tio.

      • VPC_NETWORK est le nom du réseau VPC que vous souhaitez que l'instance utilise. Consultez la section Sélectionner le réseau VPC. Si vous souhaitez spécifier un VPC partagé à partir d'un projet de service, vous devez spécifier le nom complet du réseau, au format projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME, et connect-mode=PRIVATE_SERVICE_ACCESS, comme suit:

        --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

        Il n'est pas possible de spécifier un ancien réseau pour la valeur vpc_network. Si nécessaire, créez un réseau VPC à utiliser en suivant les instructions de la section Créer un réseau VPC en mode automatique.

      • MANAGED_AD_PROJECT_ID est l'ID du projet dans lequel se trouve le service Microsoft AD géré.

      • MANAGED_AD_DOMAIN_NAME est le nom de domaine du service Microsoft AD géré que vous souhaitez utiliser. Il s'agit du nom de domaine que vous choisissez lors de la création d'un domaine Microsoft AD géré.

      • DOMAIN_COMPUTER_ACCOUNT correspond au nom que vous souhaitez que le cluster soit appelé dans le domaine.

      • CONSUMER_PROJECT_ID est l'ID du projet contenant l'instance Filestore.

      • CONNECT_MODE est DIRECT_PEERING ou PRIVATE_SERVICE_ACCESS. Si vous spécifiez un VPC partagé en tant que réseau, vous devez également spécifier PRIVATE_SERVICE_ACCESS comme mode de connexion. Cette option est requise pour l'appairage de réseaux VPC, qui est obligatoire lors de l'utilisation du service Microsoft AD géré.

      • RESERVED_IP_RANGE est la plage d'adresses IP de l'instance Cloud Filestore. Si vous spécifiez connect-mode=PRIVATE_SERVICE_ACCESS et que vous souhaitez utiliser une plage d'adresses IP réservée, vous devez spécifier le nom d'une plage d'adresses allouée plutôt que d'une plage CIDR. Consultez Configurer une adresse IP réservée. Nous vous recommandons d'ignorer cet indicateur pour permettre à Filestore de rechercher automatiquement une plage d'adresses IP disponible et de l'attribuer à l'instance.

    2. Si vous n'utilisez pas le service Microsoft AD géré, exécutez la commande précédente pour créer une instance Filestore, en omettant les options --managed-ad et les options d'appairage de réseaux VPC, à savoir connect-mode et reserved-ip-range. Utilisez la commande suivante comme exemple:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK" \
--project=CONSUMER_PROJECT_ID

Comprendre les listes de contrôle des accès (LCA) basées sur le réseau dans NFSv4.1

Dans NFSv3, seul le type de sécurité sys est pris en charge. Ce paramètre approuve les utilisateurs uid et gid fournis par le client lors de l'installation.

Dans le protocole NFSv4.1 de Filestore, plusieurs types ou paramètres de sécurité de LCA réseau sont disponibles:

  • krb5

    Authentifie le client à l'aide d'un ticket Kerberos, qui est validé par rapport au serveur Kerberos géré Microsoft AD.

  • krb5i

    Inclut l'authentification fournie par krb5 et utilise également Kerberos pour exécuter des vérifications de l'intégrité des messages sur tout le trafic réseau à destination et en provenance de l'instance.

  • krb5p

    Inclut l'authentification fournie par krb5 et les contrôles d'intégrité des messages de krb5i. Elle utilise également Kerberos pour le chiffrement des données en transit.

Si vous souhaitez bénéficier de ces options, vous devez intégrer le service géré pour Microsoft Active Directory.

Si aucun domaine de service géré pour Microsoft Active Directory n'est spécifié, seul le type de sécurité sys est pris en charge.

Pour en savoir plus, consultez la page Limites de la norme NFSv4.1.

Installer des instances NFSv4.1 Filestore sur des clients Linux

Les étapes suivantes vous expliquent comment installer des instances sur des clients Linux.

  • Installer avec sec=sys pour les autorisations NFS standards:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Installer avec sec=krb5 pour une authentification basée sur Kerberos:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Installer avec sec=krb5i pour l'authentification basée sur Kerberos et les vérifications de l'intégrité des messages:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Installer avec sec=krb5p pour l'authentification basée sur Kerberos, les contrôles d'intégrité et le chiffrement en transit:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

    Remplacez les éléments suivants :

    • FILESTORE-INSTANCE-FQDN est le nom de domaine complet où se trouve l'instance Filestore.
    • INSTANCE_SHARE_POINT est le nom du partage de fichiers de l'instance Filestore que vous souhaitez connecter.
    • MOUNT_POINT est le point d'installation ou le nom du répertoire dans lequel vous souhaitez installer l'application.

Configuration du client Linux

Une instance NFSv4.1 Filestore permet aux clients d'effectuer des opérations NFS à l'aide de différents types de sécurité. Ces types sont configurés par l'administrateur de l'instance via des listes de contrôle d'accès réseau sur l'instance NFSv4.1 Filestore lors de la création ou si vous la mettez à jour après sa création.

Le type de sécurité sys utilise l'authentification Unix standard, tandis que les types krb5, krb5i et krb5p utilisent une authentification basée sur Kerberos.

Les types krb5, krb5i et krb5p nécessitent que les clients soient connectés au même domaine Microsoft AD géré que l'instance Filestore. Suivez les étapes ci-dessous en fonction de votre environnement.

Image Ubuntu

  1. Connectez-vous en SSH à l'instance Compute Engine.

  2. Exécutez les commandes suivantes pour joindre le domaine Microsoft AD géré.

    1. Exécutez la commande de configuration suivante:

      sudo apt-get update \
sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry

    2. Lorsque vous êtes invité à indiquer un domaine, remplacez l'entrée existante par le domaine Microsoft AD géré utilisé sur l'instance Filestore. Saisissez la valeur en majuscules, appuyez sur la flèche pour sélectionner OK, puis appuyez sur Entrée.

    3. Lorsque vous êtes invité à indiquer des hôtes, laissez ce champ vide et continuez.

    4. Effectuez l'une des opérations suivantes:

      • Pour les VM dont la longueur du nom d'hôte est inférieure ou égale à 15 caractères, exécutez la commande suivante:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

        Remplacez les éléments suivants :

        • JOIN_DOMAIN_USER est le nom du compte utilisateur permettant de rejoindre le domaine.
        • MANAGED_AD_DOMAIN_NAME est le nom de domaine du service Microsoft AD géré que vous souhaitez utiliser.

      • Pour les VM dont la longueur du nom d'hôte est supérieure à 15 caractères, exécutez la commande suivante:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

        Remplacez les éléments suivants :

        • JOIN_DOMAIN_USER est le nom du compte utilisateur permettant de rejoindre le domaine.
        • MANAGED_AD_REALM_NAME est le nom de domaine du service Microsoft AD géré que vous souhaitez utiliser.
        • MANAGED_AD_DOMAIN_NAME est le nom de domaine du service Microsoft AD géré que vous souhaitez utiliser.

  3. Mettre à jour la configuration Kerberos Mettez à jour /etc/krb5.conf avec la définition de domaine et le mappage de domaine de domaine requis:

     [realms]
          DOMAIN_NAME = {
                   kdc = DOMAIN_NAME
                   default_domain = DOMAIN_NAME
          }
 [domain_realm]
          .domain_name_lowercase = DOMAIN_NAME
          domain_name_lowercase = DOMAIN_NAME

    Remplacez les éléments suivants :

    • DOMAIN_NAME est le nom de domaine que vous souhaitez utiliser, saisi en majuscules.
    • domain_name_lowercase correspond au nom de domaine que vous souhaitez utiliser, en minuscules ;

    Voici un exemple:

    [realms]
       FILE.DEMO.LOCAL = {
                kdc = FILE.DEMO.LOCAL
                default_domain = FILE.DEMO.LOCAL
       }

[domain_realm]
       .file.demo.local = FILE.DEMO.LOCAL
       file.demo.local = FILE.DEMO.LOCAL

  4. Exécutez le service rpc-gssd. Ajoutez la valeur d'attribut No-Strip suivante à la section [General] dans /etc/idmapd.conf:

     [General]
 No-Strip = both

  5. Exécutez la commande ci-dessous.

    sudo systemctl restart rpc-gssd

Image Centos

  1. Ssh vers l'instance Compute Engine.

  2. Rejoindre le domaine Microsoft AD géré:

    sudo yum update \
sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients

  3. Effectuez l'une des opérations suivantes:

    • Pour les VM dont la longueur du nom d'hôte est inférieure ou égale à 15 caractères, exécutez la commande suivante:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

      Remplacez les éléments suivants :

      • JOIN_DOMAIN_USER est le nom du compte utilisateur permettant de rejoindre le domaine.
      • MANAGED_AD_DOMAIN_NAME est le nom de domaine du service Microsoft AD géré que vous souhaitez utiliser.

    • Pour les VM dont le nom d'hôte comporte plus de 15 caractères, exécutez la commande suivante:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

      Remplacez les éléments suivants :

      • JOIN_DOMAIN_USER est le nom du compte utilisateur permettant de rejoindre le domaine.
      • MANAGED_AD_REALM_NAME est le nom de domaine du service Microsoft AD géré que vous souhaitez utiliser.
      • MANAGED_AD_DOMAIN_NAME est le nom de domaine du service Microsoft AD géré que vous souhaitez utiliser.

  4. Assurez-vous que le service sssd est en cours d'exécution:

    sudo systemctl status sssd

  5. Exécutez le service rpc-gssd. Ajoutez ce qui suit sous la valeur de l'attribut No-Strip à la section [General] dans /etc/idmapd.conf:

    [General]
No-Strip = both

  6. Exécutez la commande suivante : Cette commande permet de s'assurer que le client NFS ne supprimera pas le nom de domaine du nom d'hôte du serveur NFS. Pour en savoir plus, consultez les pages Archives de la liste NFS Ganesha et Archive Linux Arch:

    sudo systemctl start rpc-gssd

Se déconnecter et se reconnecter au service Microsoft AD géré depuis une instance Filestore

console Google Cloud

Déconnecter un service Microsoft AD géré d'une instance Filestore

  1. Déconnectez une instance Filestore connectée au service Microsoft AD géré.

    Dans la console Google Cloud, accédez à la page "Instances Filestore".

    Accéder à la page des instances Filestore

  2. Cliquez sur l'ID de l'instance à modifier.

  3. Dans le volet Point d'installation NFS, sous Protocole, à côté de Nom du service d'annuaire, cliquez sur Déconnecter le domaine AD.

  4. Dans la fenêtre Échec de la déconnexion du domaine, lisez l'alerte, puis cliquez sur Modifier l'instance.

    Au moins une règle de la section Contrôle des accès doit être mappée au rôle Administrateur avec le paramètre de sécurité d'installation sys, tel que Access=Admin Mount et sec=sys.

  5. Dans le volet Modifier le partage, localisez la règle pour laquelle Accès est défini sur Admin. Cliquez sur Monter sec= ..., puis sélectionnez sys pour ajouter cette option au paramètre existant.

  6. Cliquez sur OK.

  7. Cliquez sur Enregistrer.

  8. À côté de Nom du service d'annuaire, cliquez sur Déconnecter le domaine AD.

  9. Dans le champ de la fenêtre Déconnecter du domaine ?, saisissez le nom du domaine duquel vous souhaitez vous déconnecter.

  10. Cliquez sur Déconnecter.

Modifier les règles d'accès

  1. Actualisez la page. Notez que le champ Directory service name (Nom du service d'annuaire) est maintenant défini sur None (Aucun).

  2. Cliquez sur Modifier.

  3. Dans le volet Modifier le partage, recherchez une règle qui définit l'accès pour un rôle autre que Administrateur, tel que Éditeur. Dans la règle, cliquez sur Monter sec= ..., puis sélectionnez sys pour l'ajouter au paramètre existant. Cliquez sur OK.

  4. Cliquez sur Enregistrer.

  5. Actualisez la page.

    Les paramètres de la règle sont mis à jour.

Reconnecter un service Microsoft AD géré à une instance Filestore

  1. Reconnecter une instance Filestore au service Microsoft AD géré.

    Dans le volet Point d'installation NFS, sous Protocole, à côté de Nom du service d'annuaire, cliquez sur Rejoindre le domaine AD.

  2. Dans la fenêtre Joindre cette instance à un domaine Active Directory, sélectionnez Utiliser les domaines du projet actuel. Dans le menu Joindre un domaine Active Directory, sélectionnez le domaine que vous souhaitez utiliser.

  3. Dans le menu Nom du compte d'ordinateur, saisissez un nom.

  4. Cliquez sur Join Domain (Rejoindre le domaine).

  5. Actualisez la page. Notez que le nom du service d'annuaire a été mis à jour avec votre sélection.

  6. Cliquez sur Modifier.

  7. Dans le volet Modifier le partage, cliquez sur Monter sec= ... dans toutes les règles applicables, puis supprimez sys la sélection. Cliquez sur OK.

  8. Cliquez sur Enregistrer.

  9. Actualisez la page.

    Les paramètres de la règle sont mis à jour.

Étapes suivantes