Configura el protocolo NFSv4.1

En la siguiente guía, se muestra cómo implementar el protocolo NFSv4.1 con una instancia nueva de Filestore.

Acerca de NFSv4.1

Filestore ofrece compatibilidad con el protocolo NFSv4.1 (vista previa) para instancias creadas en los siguientes niveles de servicio:

  • Zonal
  • Regional
  • Enterprise

Esta función se puede integrar en el Servicio administrado para Microsoft Active Directory (Microsoft AD administrado) a fin de admitir cargas de trabajo que requieren autenticación de cliente y servidor, verificaciones de integridad de los datos de mensajes y encriptación de datos en tránsito, capacidades que antes no estaban disponibles en Filestore.

  • La autenticación es compatible con LDAP y Kerberos, e incluye las siguientes variantes de seguridad (configuración):

    • Autenticación de cliente y servidor (krb5).
    • Verificaciones de integridad de los mensajes (krb5i). Incluyen las capacidades de la configuración anterior.
    • Encriptación de datos en tránsito (krb5p). Incluye las funciones de la configuración anterior.

Microsoft AD administrado es la única solución de Google Cloud completamente administrada que admite LDAP y Kerberos, los requisitos del protocolo NFSv4.1 y sus beneficios de seguridad y privacidad. Si bien la integración con Microsoft AD administrado no es obligatoria, se recomienda para que la experiencia del usuario de Google Cloud sea óptima con el objetivo de administrar las cuentas de usuario y los grupos y permisos fluctuantes.

¿Deberías usar NFSv4.1?

Muchas organizaciones empresariales dependen de sistemas heredados para operaciones empresariales esenciales. Muchos sistemas necesitan autenticación y encriptación en tránsito para almacenar archivos de red. NFSv3 no se diseñó para tener en cuenta la autenticación. La integración del protocolo NFSv4.1 de Filestore con Microsoft AD administrado ahora cumple con este requisito fundamental para el usuario.

Objetivos

En esta guía, aprenderás cómo completar las siguientes tareas:

Crea una instancia de Filestore que use NFSv4.1

Para usar Microsoft AD administrado con una instancia de Filestore, el dominio de Microsoft AD administrado debe crearse antes que la instancia de Filestore.

Antes de comenzar

  1. El dominio de Microsoft AD administrado y la instancia de Filestore deben usar la misma VPC mientras se encuentran en el mismo proyecto.

    Si tu servicio administrado de Microsoft AD está alojado en un proyecto independiente de la instancia de Filestore que quieres usar, la red de VPC de Filestore debe intercambiar tráfico con el dominio de Microsoft AD administrado.

    Para obtener más información, consulta Implementa Microsoft AD administrado con acceso entre proyectos mediante el intercambio de tráfico de dominios.

  2. Completa todos los pasos de configuración para crear una instancia de Filestore.

  3. Asegúrate de que los usuarios de Microsoft AD administrado tengan los campos POSIX RFC 2307 y RFC 2307bis propagados, de manera similar a lo siguiente.

    Para obtener más información sobre cómo configurar objetos en Microsoft AD administrado, consulta Objetos de Active Directory administrados.

    Usuarios y computadoras de Active Directory

    En los siguientes pasos, se describen los atributos que debes configurar para los usuarios y grupos de LDAP. Puedes administrar los atributos de POSIX mediante el complemento de MMC Usuarios y computadoras de Active Directory.

    El Editor de atributos se abre de la siguiente manera:

    1. Haz clic en Iniciar.

    2. Haz clic en Windows Administrative Tools y selecciona Active Directory Users and Computers (Usuarios y computadoras de Active Directory).

      Se abrirá la ventana Usuarios y computadoras de Active Directory.

    3. Selecciona el nombre de dominio que quieres ver. Para expandir su contenido, haz clic en la flecha de expansión .

    4. En el menú Vista de Usuarios y computadoras de Active Directory, selecciona Funciones avanzadas.

    5. En el panel izquierdo, haz doble clic en Usuarios.

    6. En la lista de usuarios, haz doble clic en uno para ver la pestaña Editor de atributos.

      Los usuarios de LDAP deben tener configurados los siguientes atributos:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Cada usuario debe tener un uidNumber único. Ten en cuenta que el valor del atributo uid distingue mayúsculas de minúsculas. Para el atributo objectClass, user es la configuración predeterminada en la mayoría de las implementaciones de Active Directory (AD). A continuación, se muestra un ejemplo:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Los grupos LDAP deben tener configurados los siguientes atributos:

      • cn
      • gidNumber
      • objectClass

      Cada grupo debe tener un gidNumber único. Ten en cuenta que el valor del atributo cn distingue mayúsculas de minúsculas. Para el atributo objectClass, group es la configuración predeterminada en la mayoría de las implementaciones de AD. A continuación, se muestra un ejemplo:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Otorga acceso a Filestore para crear y administrar objetos en Microsoft AD administrado mediante el comando gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(PROJECT_ID)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Reemplaza lo siguiente:

    • MANAGED_MICROSOFT_AD_PROJECT_ID es el ID del proyecto en el que se encuentra el dominio de Microsoft AD administrado.
    • PROJECT_ID es el ID del proyecto en el que se encuentra la instancia de Filestore.

    Es posible que veas el siguiente error:

    INVALID_ARGUMENT: Service account service-PROJECT_ID@cloud-filer.iam.gserviceaccount.com does not exist.

    Si es así, usa el siguiente comando para resolverlo:

    gcloud beta services identity create --service=file.googleapis.com -project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Crea una instancia de Filestore con o sin Microsoft AD administrado

En esta sección, crearás una instancia de Filestore configurada para usar con el protocolo NFSv4.1. Se incluyen pasos opcionales para los usuarios que eligen no usar Microsoft AD administrado.

  • Asegúrate de tener cuota suficiente.

    Rangos de cuota de instancias según la ubicación regional y el nivel de servicio que quieres usar. Para aumentar la cuota disponible, debes enviar una solicitud de aumento de cuota.

Consola de Google Cloud

Configura los parámetros de la instancia

  1. En la consola de Google Cloud, ve a la página Instancias de Filestore.

    Vaya a la página de instancias de Filestore

  2. Haz clic en Crear instancia.

  3. Especifica los parámetros básicos de la instancia, incluidos el nombre, el tipo de instancia y la capacidad:

    1. En el campo ID de instancia, ingresa el nombre que deseas usar para la instancia de Filestore.

    2. En Tipo de instancia, selecciona Regional o Zonal.

      Para crear una instancia empresarial, debes ejecutar operaciones directamente a través de la API de Filestore.

    3. En Capacidad asignada, ingresa la capacidad que deseas usar. Debes ingresar un valor entre 1 TB y 10 TB, en incrementos de 256 GiB (0.25 TiB).

    4. En Región, selecciona la región que quieres usar.

    5. En Red de VPC, selecciona la red que deseas usar para la instancia de Filestore y los clientes de NFS.

      • Si Microsoft AD administrado está en el mismo proyecto que la instancia de Filestore, la red de VPC debe estar autorizada en el dominio de Microsoft AD administrado.
      • Si Microsoft AD administrado está en un proyecto independiente, entonces la red de VPC debe configurarse con el intercambio de tráfico entre redes de Active Directory en la configuración de Microsoft AD administrado.

    6. En Rango de IP asignado, selecciona Usar un rango de IP asignado automáticamente (recomendado).

    7. En Protocolo, selecciona NFSv4.1.

Establece la configuración de autenticación de la instancia

  1. Establece la configuración de autenticación de la instancia.
    1. Haz clic en Autenticación.
    2. Selecciona el proyecto que aloja Microsoft AD administrado. A los efectos de esta guía, supondremos que el proyecto actual es el que queremos utilizar.
    3. En la lista Unirme a un dominio de Active Directory, selecciona el dominio de Microsoft AD administrado que deseas usar.
    4. En el campo Nombre de la cuenta de computadora, ingresa el nombre de la cuenta de computadora que deseas usar para identificar la instancia de Filestore en el dominio de Microsoft AD administrado. El nombre tiene un límite de 15 caracteres alfanuméricos.
    5. En el campo Nombre del recurso compartido de archivos, ingresa el nombre del recurso compartido como lo usarán los clientes de NFSv4.1.

  2. En el panel Control de acceso, completa cualquiera de los siguientes pasos:

    • Si usas Microsoft AD administrado, selecciona Restringir el acceso por dirección IP o rango.

      1. Configura la regla de acceso por IP o subred que deseas definir. Para los fines de esta guía, usa la siguiente configuración:
      2. En el campo Dirección IP o rango 1, ingresa la dirección IP o el rango que deseas usar.
      3. Haga clic en la lista desplegable Acceso 1 y seleccione Administrador.
      4. Haz clic en la lista desplegable Mountsec= 1 y selecciona la casilla de verificación sys.

      El propietario predeterminado de / de Filestore es root. Para habilitar el acceso a la instancia para otros usuarios y grupos, debes crear una regla de acceso que habilite el acceso a la VM de administración mediante la función Admin y la configuración de seguridad sec=sys.

    • Si no usas Microsoft AD administrado, selecciona Otorgar acceso a todos los clientes en la red de VPC.

      Si no se usa Microsoft AD administrado, la única configuración de seguridad compatible es sec=sys.

  3. Haz clic en Crear para crear la instancia.

gcloud

  1. Instala e inicializa gcloud CLI

    Si ya tienes instalada gcloud CLI, ejecuta el siguiente comando para actualizarla:

    gcloud components update

  2. Completa cualquiera de los siguientes pasos:

    1. Si usas Microsoft AD administrado, ejecuta el siguiente comando gcloud beta filestore instances create para crear una instancia zonal, regional o empresarial de Filestore:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
--managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
--project=CONSUMER_PROJECT_ID

      Reemplaza lo siguiente:

      • INSTANCE_ID es el ID de la instancia de Filestore que quieres crear. Consulta Asigna un nombre a tu instancia.
      • DESCRIPTION es una descripción de la instancia que deseas usar.
      • LOCATION es la ubicación en la que quieres que resida la instancia de Filestore.
      • TIER es el nivel de servicio que deseas usar.
      • PROTOCOL es NFS_v4_1.
      • FILE_SHARE_NAME es el nombre que especificas para el recurso compartido de archivos NFS que se entrega desde la instancia.
      • CAPACITY es el tamaño que deseas para los archivos compartidos, entre 1 TiB y 10 TiB.

      • VPC_NETWORK es el nombre de la red de VPC que usará la instancia. Consulta Selecciona la red de VPC. Si deseas especificar una VPC compartida desde un proyecto de servicio, debes especificar el nombre de red completamente calificado, que tiene el formato projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME, y debes especificar connect-mode=PRIVATE_SERVICE_ACCESS, similar a lo siguiente:

        --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

        No puedes especificar una red heredada para el valor vpc_network. Si es necesario, crea una nueva red de VPC para usarla siguiendo las instrucciones en Crea una red de VPC de modo automático.

      • MANAGED_AD_PROJECT_ID es el ID del proyecto en el que se encuentra el servicio administrado de Microsoft AD.

      • MANAGED_AD_DOMAIN_NAME es el nombre de dominio del servicio de Microsoft AD administrado que deseas usar. Es el nombre de dominio que eliges cuando creas un dominio de Microsoft AD administrado.

      • DOMAIN_COMPUTER_ACCOUNT es cualquier nombre con el que deseas que se llame al clúster en el dominio.

      • CONSUMER_PROJECT_ID es el ID del proyecto que contiene la instancia de Filestore.

      • CONNECT_MODE es DIRECT_PEERING o PRIVATE_SERVICE_ACCESS. Si especificas una VPC compartida como la red, también debes especificar PRIVATE_SERVICE_ACCESS como el modo de conexión. Esta marca es obligatoria para el intercambio de tráfico entre redes de VPC, que es un requisito cuando se usa Microsoft AD administrado.

      • RESERVED_IP_RANGE es el rango de direcciones IP de la instancia de Filestore. Si especificas connect-mode=PRIVATE_SERVICE_ACCESS y deseas usar un rango de direcciones IP reservado, debes especificar el nombre de un rango de direcciones asignado en lugar de un rango CIDR. Consulta Configura una dirección IP reservada. Te recomendamos que omitas esta marca para permitir que Filestore encuentre de forma automática un rango de direcciones IP gratuito y lo asigne a la instancia.

    2. Si no usas Microsoft AD administrado, ejecuta el mismo comando que en el paso anterior para crear una instancia de Filestore, omite la marca --managed-ad y las marcas para el intercambio de tráfico entre redes de VPC, es decir, connect-mode y reserved-ip-range. Usa el siguiente comando como ejemplo:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK" \
--project=CONSUMER_PROJECT_ID

Explicación de las listas de control de acceso (LCA) basadas en la red en NFSv4.1.

En NFSv3, solo se admite la variante de seguridad sys. Este parámetro de configuración confía en el usuario uid y gid que proporciona el cliente durante la activación.

En el protocolo Filestore NFSv4.1, hay disponibles varios tipos o configuraciones de seguridad de LCA de red:

  • krb5

    Autentica al cliente mediante un ticket de Kerberos, que se valida en el servidor de Kerberos Microsoft AD administrado.

  • krb5i

    Incluye la autenticación proporcionada por krb5 y también usa Kerberos para ejecutar verificaciones de integridad de los mensajes en todo el tráfico de red desde y hacia la instancia.

  • krb5p

    Incluye la autenticación que proporciona krb5 y las verificaciones de integridad de los mensajes de krb5i, y también usa Kerberos para la encriptación de datos en tránsito.

Si deseas aprovechar estas opciones, se requiere la integración del Servicio administrado para Microsoft Active Directory.

Si no se especifica un servicio administrado para un dominio de Microsoft Active Directory, solo se admite la variante de seguridad sys.

Para obtener más información, consulta Limitaciones de NFSv4.1.

Activa instancias de Filestore NFSv4.1 en clientes de Linux

En los siguientes pasos, se muestra cómo activar instancias en clientes de Linux.

  • Actívalo con sec=sys para los permisos de NFS estándar:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Actívalo con sec=krb5 para la autenticación basada en Kerberos:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Actívalo con sec=krb5i para la autenticación basada en Kerberos y las verificaciones de integridad de los mensajes:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Actívalo con sec=krb5p para la autenticación basada en Kerberos, las verificaciones de integridad y la encriptación en tránsito:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

    Reemplaza lo siguiente:

    • FILESTORE-INSTANCE-FQDN es el nombre de dominio completamente calificado en el que se encuentra la instancia de Filestore.
    • INSTANCE_SHARE_POINT es el nombre del archivo compartido de la instancia de Filestore que deseas conectar.
    • MOUNT_POINT es el punto de activación o el nombre del directorio donde deseas activar.

Configuración del cliente de Linux

Una instancia de Filestore para NFSv4.1 permite a los clientes realizar operaciones de NFSv4.1 con varios tipos de seguridad. El administrador de instancias configura estas variantes a través de LCA de red en la instancia de Filestore NFSv4.1 durante la creación o si se actualizan después de esta.

La variante de seguridad sys usa autenticación de Unix estándar, mientras que las variantes krb5, krb5i y krb5p usan autenticación basada en Kerberos.

Las variantes krb5, krb5i y krb5p requieren que los clientes se conecten al mismo dominio de Microsoft AD administrado que la instancia de Filestore. Completa los siguientes pasos correspondientes a tu entorno.

Imagen de Ubuntu

  1. Establece una conexión SSH a la instancia de Compute Engine.

  2. Ejecuta los siguientes comandos para unirte al dominio administrado de Microsoft AD.

    1. Ejecuta el siguiente comando de configuración:

      sudo apt-get update \
sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry

    2. Cuando se te solicite dominio, reemplaza la entrada existente por el dominio de Microsoft AD administrado que se usó en la instancia de Filestore. Ingresa el valor en mayúsculas, presiona la tecla de flecha para seleccionar OK y, luego, presiona Intro.

    3. Cuando se te soliciten hosts, déjalo vacío y continúa.

    4. Completa cualquiera de los siguientes pasos:

      • Para las VM con una longitud de nombre de host que sea menor o igual que 15 caracteres, ejecuta el siguiente comando:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

        Reemplaza lo siguiente:

        • JOIN_DOMAIN_USER es el nombre de la cuenta de usuario que se usó para unirse al dominio.
        • MANAGED_AD_DOMAIN_NAME es el nombre de dominio del servicio administrado de Microsoft AD que deseas usar.

      • Para las VM con una longitud de nombre de host que supere los 15 caracteres, ejecuta el siguiente comando:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

        Reemplaza lo siguiente:

        • JOIN_DOMAIN_USER es el nombre de la cuenta de usuario que se usó para unirse al dominio.
        • MANAGED_AD_REALM_NAME es el nombre de dominio del servicio de Microsoft AD administrado que deseas usar.
        • MANAGED_AD_DOMAIN_NAME es el nombre de dominio del servicio administrado de Microsoft AD que deseas usar.

  3. Actualizar la configuración de Kerberos Actualiza /etc/krb5.conf con la definición de dominio y la asignación de dominio de dominio requeridas:

     [realms]
          DOMAIN_NAME = {
                   kdc = DOMAIN_NAME
                   default_domain = DOMAIN_NAME
          }
 [domain_realm]
          .domain_name_lowercase = DOMAIN_NAME
          domain_name_lowercase = DOMAIN_NAME

    Reemplaza lo siguiente:

    • DOMAIN_NAME es el nombre de dominio que deseas usar, escrito en mayúsculas.
    • domain_name_lowercase es el nombre de dominio que deseas usar, escrito en minúsculas.

    Consulta los siguientes ejemplos para ver un ejemplo:

    [realms]
       FILE.DEMO.LOCAL = {
                kdc = FILE.DEMO.LOCAL
                default_domain = FILE.DEMO.LOCAL
       }

[domain_realm]
       .file.demo.local = FILE.DEMO.LOCAL
       file.demo.local = FILE.DEMO.LOCAL

  4. Ejecuta el servicio rpc-gssd. Agrega el siguiente valor del atributo No-Strip a la sección [General] dentro de /etc/idmapd.conf:

     [General]
 No-Strip = both

  5. Ejecuta el siguiente comando:

    sudo systemctl restart rpc-gssd

Imagen de CentOS

  1. Enviar a la instancia de Compute Engine

  2. Únete al dominio de Microsoft AD administrado:

    sudo yum update \
sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients

  3. Completa cualquiera de los siguientes pasos:

    • Para las VM con una longitud de nombre de host menor o igual que 15 caracteres, ejecuta el siguiente comando:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

      Reemplaza lo siguiente:

      • JOIN_DOMAIN_USER es el nombre de la cuenta de usuario que se usa para unirse al dominio.
      • MANAGED_AD_DOMAIN_NAME es el nombre de dominio del servicio de Microsoft AD administrado que deseas usar.

    • Para las VM con una longitud de nombre de host superior a 15 caracteres, ejecuta el siguiente comando:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

      Reemplaza lo siguiente:

      • JOIN_DOMAIN_USER es el nombre de la cuenta de usuario que se usa para unirse al dominio.
      • MANAGED_AD_REALM_NAME es el nombre de dominio del servicio de Microsoft AD administrado que deseas usar.
      • MANAGED_AD_DOMAIN_NAME es el nombre de dominio del servicio de Microsoft AD administrado que deseas usar.

  4. Asegúrate de que se esté ejecutando el servicio de sssd:

    sudo systemctl status sssd

  5. Ejecuta el servicio rpc-gssd. Agrega lo siguiente debajo del valor del atributo No-Strip a la sección [General] dentro de /etc/idmapd.conf:

    [General]
No-Strip = both

  6. Ejecuta el siguiente comando. Este comando ayuda a garantizar que el cliente de NFS no quite el nombre de dominio del nombre de host del servidor NFS. Para obtener más información, consulta los archivos de la lista de Ganesha de NFS y el archivo de Arch Linux:

    sudo systemctl start rpc-gssd

Desconectarse y volver a conectarse a Microsoft AD administrado desde una instancia de Filestore

Consola de Google Cloud

Desconectar Microsoft AD administrado de una instancia de Filestore

  1. Desconectar una instancia de Filestore conectada a Microsoft AD administrado

    En la consola de Google Cloud, ve a la página de instancias de Filestore.

    Vaya a la página de instancias de Filestore

  2. Haz clic en el ID de la instancia que deseas editar.

  3. En el panel Punto de activación de NFS, en Protocolo, junto a Nombre del servicio de directorio, haz clic en Desconectar dominio AD.

  4. En la ventana Error en la desconexión del dominio, lee la alerta y, luego, haz clic en Editar instancia.

    Se debe asignar al menos una regla en Control de acceso a la función de administrador con la configuración de seguridad de activación sys, como Access=Admin Mount y sec=sys.

  5. En el panel Editar uso compartido, busca la regla en la que Acceso está configurado como Administrador. Haz clic en Mount sec= ... y selecciona sys para agregar esa opción a la configuración existente.

  6. Haz clic en OK.

  7. Haz clic en Guardar.

  8. Junto a Nombre del servicio de directorio, haz clic en Desconectar dominio de AD.

  9. En el campo de la ventana ¿Desconectar del dominio?, ingresa el nombre del dominio del que deseas desconectarte.

  10. Haz clic en Desconectar.

Editar las reglas de acceso

  1. Actualiza la página. Ten en cuenta que el Nombre del servicio de directorio ahora está configurado como Ninguno.

  2. Haz clic en Editar.

  3. En el panel Editar archivo compartido, busca cualquier regla que establezca el acceso para una función que no sea Administrador, como Editor. En la regla, haz clic en Mount sec= ... y selecciona sys para agregarlo a la configuración existente. Haz clic en OK.

  4. Haz clic en Guardar.

  5. Actualiza la página.

    Se actualizará la configuración de la regla.

Vuelve a conectar un Microsoft AD administrado a una instancia de Filestore

  1. Volver a conectar una instancia de Filestore a Microsoft AD administrado

    En el panel Punto de activación de NFS, en Protocolo, junto a Nombre del servicio de directorio, haz clic en Unir el dominio AD.

  2. En la ventana Unir esta instancia a un dominio de Active Directory, selecciona Usar dominios del proyecto actual y, en el menú Unirse a un dominio de Active Directory, selecciona el dominio que deseas usar.

  3. En el menú Nombre de la cuenta de computadora, ingresa un nombre.

  4. Haz clic en Join Domain.

  5. Actualiza la página. Ten en cuenta que el Nombre del servicio de directorio se actualizó con tu selección.

  6. Haz clic en Editar.

  7. En el panel Edit share, haz clic en Mount sec= ... en todas las reglas aplicables y quita la selección sys. Haz clic en OK.

  8. Haz clic en Guardar.

  9. Actualiza la página.

    Se actualizará la configuración de la regla.

¿Qué sigue?