configura il protocollo NFSv4.1

La seguente guida mostra come implementare il protocollo NFSv4.1 con una nuova Filestore.

Informazioni su NFSv4.1

Filestore offre il supporto del protocollo NFSv4.1 (anteprima) per le istanze create nei seguenti livelli di servizio:

  • A livello di zona
  • Regionale
  • Aziende

Questa funzionalità può essere integrata Servizio gestito per Microsoft Active Directory (Microsoft AD gestito) per supportare carichi di lavoro che richiedono l'autenticazione di client e server, dati dei messaggi controlli di integrità e crittografia dei dati in transito, non è disponibile in Filestore.

  • L'autenticazione è supportata tramite LDAP e Kerberos e include le seguenti funzionalità di sicurezza (impostazioni):

    • Autenticazione client e server (krb5).
    • Controlli di integrità del messaggio (krb5i). Include le funzionalità l'impostazione precedente.
    • Crittografia dei dati in transito (krb5p). Include le funzionalità l'impostazione precedente.

Managed Microsoft AD è l'unica soluzione Google Cloud completamente gestita che supporta sia LDAP e Kerberos, i requisiti per il protocollo NFSv4.1 e i suoi vantaggi in termini di sicurezza e privacy. Mentre l'integrazione con Microsoft Active Directory gestito non è obbligatorio, un'esperienza utente Google Cloud ottimale per gestire gli account utente e le fluttuazioni gruppi e autorizzazioni.

Dovresti usare NFSv4.1?

Molte organizzazioni aziendali si affidano a sistemi legacy per operations. Molti di questi sistemi richiedono l’autenticazione e i dati in transito la crittografia per l'archiviazione dei file di rete. NFSv3 non è stato progettato con l'autenticazione. Integrazione del protocollo NFSv4.1 di Filestore con Microsoft Active Directory gestito ora soddisfa questo requisito fondamentale per gli utenti.

Obiettivi

In questa guida, imparerai a completare le seguenti attività:

Crea un'istanza Filestore che utilizza NFSv4.1

Per utilizzare Microsoft Active Directory gestito con un'istanza Filestore, Il dominio Microsoft AD gestito deve essere creato prima che Filestore in esecuzione in un'istanza Compute Engine.

Prima di iniziare

  1. Sia il dominio Microsoft Active Directory gestito che Filestore l'istanza deve utilizzare lo stesso VPC mentre sei sullo stesso progetto.

    Se il servizio Microsoft Active Directory gestito è ospitato in un progetto separato da l'istanza Filestore da utilizzare, quindi La rete VPC deve essere connessa in peering al dominio Microsoft Active Directory gestito.

    Per ulteriori informazioni, vedi Esegui il deployment di Microsoft Active Directory gestito con accesso tra progetti utilizzando il peering di dominio.

  2. Completa tutti i passaggi di configurazione per creare un'istanza Filestore.

  3. Assicurati che gli utenti di Microsoft Active Directory gestiti dispongano di POSIX RFC 2307 e RFC 2307bis campi compilati, come di seguito.

    Per ulteriori informazioni su come configurare gli oggetti in Microsoft Active Directory gestito, consulta Oggetti Active Directory gestiti.

    Utenti e computer di Active Directory

    I passaggi seguenti descrivono gli attributi da impostare per LDAP utenti e gruppi di utenti. Puoi gestire gli attributi POSIX utilizzando lo strumento Attiva Utenti della directory e computer Snap-in MMC.

    Per aprire l'Editor attributi, procedi nel seguente modo:

    1. Fai clic su Avvia.

    2. Fai clic su Strumenti di amministrazione di Windows e seleziona Utenti e computer di Active Directory.

      Si apre la finestra Utenti e computer di Active Directory.

    3. Seleziona il nome di dominio che vuoi visualizzare. Per espanderne i contenuti, fai clic sulla freccia di espansione.

    4. Nel menu Visualizza utenti e computer di Active Directory, seleziona Funzionalità avanzate.

    5. Nel riquadro a sinistra, fai doppio clic su Utenti.

    6. Nell'elenco degli utenti, fai doppio clic su un utente per visualizzarne l'Editor attributi. .

      Per gli utenti LDAP devono essere impostati i seguenti attributi:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Ogni utente deve avere un uidNumber univoco. Tieni presente che il valore dell'attributo L'attributo uid è sensibile alle maiuscole. Per l'attributo objectClass, user è l'impostazione predefinita nella maggior parte dei deployment di Active Directory (AD). Di seguito è riportato un esempio:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Per i gruppi LDAP devono essere impostati i seguenti attributi:

      • cn
      • gidNumber
      • objectClass

      Ogni gruppo deve avere un gidNumber univoco. Tieni presente che il valore dell'attributo L'attributo cn è sensibile alle maiuscole. Per l'attributo objectClass, group è l'impostazione predefinita nella maggior parte dei deployment di AD. Quello che segue è Ecco un esempio:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Concedi a Filestore l'accesso per creare e gestire oggetti in Microsoft Active Directory gestito utilizzando gcloud projects add-iam-policy-binding :

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(PROJECT_ID)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Sostituisci quanto segue:

    • MANAGED_MICROSOFT_AD_PROJECT_ID è l'ID progetto del in cui si trova il dominio Microsoft Active Directory gestito.
    • PROJECT_ID è l'ID del progetto in cui Si trova l'istanza Filestore.

    Potrebbe essere visualizzato il seguente errore:

    INVALID_ARGUMENT: Service account service-PROJECT_ID@cloud-filer.iam.gserviceaccount.com does not exist.

    In questo caso, utilizza il seguente comando per risolverlo:

    gcloud beta services identity create --service=file.googleapis.com -project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Crea un'istanza Filestore con o senza Microsoft AD gestito

In questa sezione creerai un'istanza Filestore configurata per l'utilizzo con il protocollo NFSv4.1. Sono inclusi i passaggi facoltativi per gli utenti che scelgono di non farlo usano Microsoft Active Directory gestito.

  • Assicurati di avere una quota sufficiente.

    Intervalli di quota delle istanze in base alla località della regione e al livello di servizio che vuoi utilizzare. Per aumentare la quota disponibile, devi inviare una richiesta di aumento della quota.

Console Google Cloud

Configura i parametri di istanza

  1. Nella console Google Cloud, vai alle istanze Filestore .

    Vai alla pagina delle istanze Filestore

  2. Fai clic su Crea istanza.

  3. Specifica i parametri di base dell'istanza, inclusi nome, istanza tipo e capacità:

    1. Nel campo ID istanza, inserisci il nome che vuoi utilizzare per Filestore.

    2. In Tipo di istanza, seleziona A livello di regione o A livello di zona.

      Per creare un'istanza Enterprise, devi eseguire le operazioni direttamente tramite l'API Filestore.

    3. In Capacità allocata, inserisci la capacità che vuoi utilizzare. Devi inserisci un valore compreso tra 1 TB e 10 TB, in incrementi di 256 GiB (0,25 TiB).

    4. In Regione, seleziona la regione che vuoi utilizzare.

    5. In Rete VPC, seleziona la rete che vuoi utilizzare per Istanza Filestore e client NFS.

      • Se Microsoft Active Directory gestito si trova nello stesso progetto di Filestore ad esempio, la rete VPC deve essere autorizzata Dominio Microsoft AD gestito.
      • Se Microsoft Active Directory gestito si trova in un progetto separato, la rete deve essere configurata con il peering di rete Active Directory la configurazione di Microsoft Active Directory gestito.

    6. In Intervallo IP allocato, seleziona Utilizza un intervallo IP allocato automaticamente (opzione consigliata).

    7. In Protocollo, seleziona NFSv4.1.

Configura le impostazioni di autenticazione dell'istanza

  1. Configura le impostazioni di autenticazione dell'istanza.
    1. Fai clic su Autenticazione.
    2. Seleziona il progetto che ospita Managed Microsoft AD. Allo scopo di questa guida, supponiamo che il progetto attuale sia quello che vogliamo per gli utilizzi odierni.
    3. Nell'elenco Partecipa a un dominio Active Directory seleziona Dominio Microsoft AD gestito che vuoi utilizzare.
    4. Nel campo Nome account computer, inserisci il nome dell'account computer da utilizzare per identificare l'istanza Filestore Dominio Microsoft AD gestito. Il nome è limitato a 15 caratteri alfanumerici.
    5. Nel campo Nome condivisione file, inserisci il nome della condivisione. verrà utilizzato dai client NFSv4.1.

  2. Nel riquadro Controllo accesso, completa uno dei seguenti passaggi:

    • Se utilizzi Microsoft Active Directory gestito, seleziona Limita l'accesso in base all'indirizzo o all'intervallo IP.

      1. Imposta la regola di accesso in base all'IP o alla subnet che vuoi definire. Per scopo di questa guida, utilizza le seguenti impostazioni:
      2. Nel campo Indirizzo o intervallo IP 1, inserisci l'indirizzo IP o l'intervallo di indirizzi che vuoi utilizzare.
      3. Fai clic sull'elenco a discesa Accesso 1 e seleziona Amministratore.
      4. Fai clic sull'elenco a discesa Montaggiosec= 1 e seleziona sys.

      Il proprietario predefinito di / di Filestore è root. A abilitare l'accesso all'istanza per altri utenti e gruppi, devi creare una regola di accesso che consenta di gestire le VM l'accesso utilizzando il ruolo Admin e la sicurezza sec=sys dell'ambientazione.

    • Se non utilizzi Microsoft Active Directory gestito, seleziona Concedi l'accesso a tutti i client sulla rete VPC.

      Se non viene utilizzato Microsoft Active Directory gestito, l'unico l'impostazione di sicurezza è sec=sys.

  3. Fai clic sul pulsante Crea per creare l'istanza.

gcloud

  1. Installa e inizializza gcloud CLI.

    Se hai già installato gcloud CLI, esegui questo comando comando per aggiornarlo:

    gcloud components update

  2. Completa uno dei seguenti passaggi:

    1. Se utilizzi Microsoft Active Directory gestito, esegui questo gcloud beta filestore instances create per creare un progetto a livello di zona, regionale o aziendale:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
--managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
--project=CONSUMER_PROJECT_ID

      Sostituisci quanto segue:

      • INSTANCE_ID è l'ID istanza di Filestore che vuoi creare. Consulta Assegna un nome all'istanza.
      • DESCRIPTION è una descrizione dell'istanza che vuoi per l'utilizzo.
      • LOCATION è la località in cui vuoi che vengano Filestore.
      • TIER è il livello di servizio che vuoi utilizzare.
      • PROTOCOL è NFS_v4_1.
      • FILE_SHARE_NAME è il nome che specifichi per la NFS la condivisione di file fornita dall'istanza.
      • CAPACITY è la dimensione desiderata per la condivisione file, tra 1 TiB e 10 TiB.

      • VPC_NETWORK è il nome del VPC che deve essere utilizzata dall'istanza. Consulta Seleziona la rete VPC. Se vuoi specificare un VPC condiviso da un servizio devi specificare il nome completo della rete, che è nel formato projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME e devi specificare connect-mode=PRIVATE_SERVICE_ACCESS, simili a:

        --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

        Non puoi specificare una rete legacy per il valore vpc_network. Se necessario, crea un'istanza nuova rete VPC da utilizzare seguendo le istruzioni in Crea una rete VPC in modalità automatica.

      • MANAGED_AD_PROJECT_ID è l'ID progetto in cui Si trova il servizio Microsoft AD gestito.

      • MANAGED_AD_DOMAIN_NAME è il nome di dominio del Servizio Microsoft AD gestito che vuoi utilizzare. È il dominio nome scelto durante la creazione di un Microsoft Active Directory gestito dominio.

      • DOMAIN_COMPUTER_ACCOUNT è il nome di cui vuoi che venga il cluster da chiamare nel dominio.

      • CONSUMER_PROJECT_ID è l'ID del progetto che contiene l'istanza Filestore.

      • CONNECT_MODE è DIRECT_PEERING o PRIVATE_SERVICE_ACCESS. Se stai specificando un VPC condiviso come rete, devi specifica anche PRIVATE_SERVICE_ACCESS come modalità di connessione. Questo flag per il peering di rete VPC, un requisito quando utilizzando Microsoft Active Directory gestito.

      • RESERVED_IP_RANGE è l'intervallo di indirizzi IP per il parametro Filestore. Se specifichi connect-mode=PRIVATE_SERVICE_ACCESS e vuoi utilizzare un piano riservato di indirizzi IP, devi specificare il nome di un intervallo di indirizzi allocato anziché un intervallo CIDR. Consulta Configura un indirizzo IP riservato. Ti consigliamo di saltare questo flag per consentire Filestore per trovare automaticamente un intervallo di indirizzi IP libero e assegnarlo l'istanza.

    2. Se non utilizzi Microsoft Active Directory gestito, esegui lo stesso comando passaggio precedente per creare un'istanza Filestore, omettendo il flag --managed-ad e i flag per il peering di rete VPC, ossia connect-mode e reserved-ip-range. Utilizza quanto segue come esempio:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK" \
--project=CONSUMER_PROJECT_ID

Informazioni sugli elenchi di controllo dell'accesso basati su rete (ACL) in NFSv4.1.

In NFSv3 è supportata solo la versione di sicurezza sys. Questa impostazione considera attendibili gli utenti uid e gid forniti dal client durante il montaggio.

Nel protocollo NFSv4.1 Filestore, diverse versioni di sicurezza ACL di rete o le impostazioni disponibili:

  • krb5

    Autentica il client utilizzando un ticket Kerberos, che viene convalidato rispetto al server Kerberos di Microsoft Active Directory gestito.

  • krb5i

    Include l'autenticazione fornita da krb5 e utilizza Kerberos per l'esecuzione e controlli di integrità dei messaggi su tutto il traffico di rete da e verso l'istanza.

  • krb5p

    Include l'autenticazione fornita da krb5 e i controlli di integrità del messaggio di krb5i e utilizza Kerberos per la crittografia dei dati in transito.

Se vuoi sfruttare queste opzioni, l'integrazione di Managed Service for Microsoft Active Directory è obbligatorio.

Se non è specificato un dominio Managed Service for Microsoft Active Directory, viene utilizzata solo la versione di sicurezza sys è supportato.

Per ulteriori informazioni, consulta le limitazioni di NFSv4.1.

Montaggio di istanze Filestore NFSv4.1 su client Linux

I passaggi seguenti mostrano come montare le istanze sui client Linux.

  • Monta con sec=sys per le autorizzazioni NFS standard:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Monta con sec=krb5 per l'autenticazione basata su Kerberos:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Monta con sec=krb5i per l'autenticazione basata su Kerberos e l'integrità dei messaggi controlli:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Monta con sec=krb5p per autenticazione basata su Kerberos, controlli di integrità, e la crittografia dei dati in transito:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

    Sostituisci quanto segue:

    • FILESTORE-INSTANCE-FQDN è il nome di dominio completo in cui si trova l'istanza Filestore.
    • INSTANCE_SHARE_POINT è il nome della condivisione file di Filestore che vuoi connettere.
    • MOUNT_POINT è il punto di montaggio o il nome della directory in cui vuoi montare.

Configurazione client Linux

Un'istanza Filestore NFSv4.1 consente ai client di eseguire operazioni NFS utilizzando vari tipi di sicurezza. Queste versioni sono configurate dall'istanza tramite ACL di rete su Filestore NFSv4.1 o se viene aggiornata dopo la creazione.

La versione di sicurezza sys utilizza l'autenticazione Unix standard, mentre krb5, Le versioni krb5i e krb5p utilizzano l'autenticazione basata su Kerberos.

Le versioni krb5, krb5i e krb5p richiedono la connessione dei client a lo stesso dominio Microsoft Active Directory gestito dell'istanza Filestore. Completa i seguenti passaggi appropriati per il tuo ambiente.

Immagine Ubuntu

  1. Accedi tramite SSH all'istanza Compute Engine.

  2. Esegui questi comandi per unirti al dominio Microsoft Active Directory gestito.

    1. Esegui questo comando di configurazione:

      sudo apt-get update \
sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry

    2. Quando viene richiesta l'area di autenticazione, sostituisci la voce esistente con Dominio Microsoft AD gestito utilizzato su Filestore in esecuzione in un'istanza Compute Engine. Inserisci il valore in maiuscolo, quindi premi la freccia per selezionare OK, quindi premi Invio.

    3. Quando ti viene richiesto per gli host, lascia vuoto il campo e procedi.

    4. Completa uno dei seguenti passaggi:

      • Per le VM con una lunghezza del nome host inferiore o uguale a 15 esegui questo comando:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

        Sostituisci quanto segue:

        • JOIN_DOMAIN_USER è il nome dell'account utente utilizzati per partecipare al dominio.
        • MANAGED_AD_DOMAIN_NAME è il nome di dominio del Servizio Microsoft AD gestito che vuoi utilizzare.

      • Per le VM con una lunghezza del nome host superiore a 15 caratteri, esegui questo comando:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

        Sostituisci quanto segue:

        • JOIN_DOMAIN_USER è il nome dell'account utente utilizzati per partecipare al dominio.
        • MANAGED_AD_REALM_NAME è il nome dell'area di autenticazione Servizio Microsoft AD gestito che vuoi utilizzare.
        • MANAGED_AD_DOMAIN_NAME è il nome di dominio del Servizio Microsoft AD gestito che vuoi utilizzare.

  3. Aggiorna configurazione Kerberos. Aggiorna /etc/krb5.conf con i dati richiesti definizione e mappatura dei domini di realm:

     [realms]
          DOMAIN_NAME = {
                   kdc = DOMAIN_NAME
                   default_domain = DOMAIN_NAME
          }
 [domain_realm]
          .domain_name_lowercase = DOMAIN_NAME
          domain_name_lowercase = DOMAIN_NAME

    Sostituisci quanto segue:

    • DOMAIN_NAME è il nome di dominio che vuoi utilizzare, inserito in maiuscolo.
    • domain_name_lowercase è il nome di dominio che vuoi utilizzare, inserito in minuscolo.

    Per un esempio, fai riferimento a quanto segue:

    [realms]
       FILE.DEMO.LOCAL = {
                kdc = FILE.DEMO.LOCAL
                default_domain = FILE.DEMO.LOCAL
       }

[domain_realm]
       .file.demo.local = FILE.DEMO.LOCAL
       file.demo.local = FILE.DEMO.LOCAL

  4. Esegui il servizio rpc-gssd. Aggiungi il seguente valore dell'attributo No-Strip alla sezione [General] all'interno di /etc/idmapd.conf:

     [General]
 No-Strip = both

  5. Esegui questo comando:

    sudo systemctl restart rpc-gssd

Immagine Centos

  1. Collegati tramite SSH all'istanza Compute Engine.

  2. Entra a far parte del dominio Microsoft Active Directory gestito:

    sudo yum update \
sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients

  3. Completa uno dei seguenti passaggi:

    • Per le VM con una lunghezza del nome host inferiore o uguale a 15 caratteri, esegui il seguente comando:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

      Sostituisci quanto segue:

      • JOIN_DOMAIN_USER è il nome dell'account utente utilizzati per partecipare al dominio.
      • MANAGED_AD_DOMAIN_NAME è il nome di dominio del Servizio Microsoft AD gestito che vuoi utilizzare.

    • Per le VM con una lunghezza del nome host superiore a 15 caratteri, esegui il seguente comando:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

      Sostituisci quanto segue:

      • JOIN_DOMAIN_USER è il nome dell'account utente utilizzati per partecipare al dominio.
      • MANAGED_AD_REALM_NAME è il nome dell'area di autenticazione Servizio Microsoft AD gestito che vuoi utilizzare.
      • MANAGED_AD_DOMAIN_NAME è il nome di dominio del Servizio Microsoft AD gestito che vuoi utilizzare.

  4. Assicurati che il servizio SSD sia in esecuzione:

    sudo systemctl status sssd

  5. Esegui il servizio rpc-gssd. Aggiungi quanto segue sotto l'attributo No-Strip nella sezione [General] all'interno di /etc/idmapd.conf:

    [General]
No-Strip = both

  6. Esegui questo comando. Questo comando assicura che il client NFS rimuove il nome di dominio dal nome host del server NFS. Per ulteriori informazioni, consulta la pagina NFS Ganesha List Archives e Archivio Arch Linux:

    sudo systemctl start rpc-gssd

Disconnettiti e riconnettiti a Microsoft Active Directory gestito da un'istanza Filestore

Console Google Cloud

Disconnetti un Microsoft Active Directory gestito da un'istanza Filestore

  1. Disconnetti un'istanza Filestore connessa a Microsoft Active Directory gestito.

    Nella console Google Cloud, vai alla pagina Istanze Filestore.

    Vai alla pagina delle istanze Filestore

  2. Fai clic sull'ID dell'istanza da modificare.

  3. Nel riquadro Punto di montaggio NFS, sotto Protocollo, accanto a Nome servizio di directory, fai clic su Scollega il dominio AD.

  4. Nella finestra Disconnessione dal dominio non riuscita, leggi l'avviso e poi fai clic su Modifica istanza.

    Almeno una regola in Controllo dell'accesso deve essere mappata a il ruolo Amministratore con l'impostazione di sicurezza per il montaggio di sys, ad esempio Access=Admin Mount e sec=sys.

  5. Nel riquadro Modifica condivisione, individua la regola in cui L'opzione Accesso sia impostata su Amministratore. Fai clic su Montaggio sec= ... e seleziona sys per aggiungere questa opzione all'impostazione esistente.

  6. Fai clic su OK.

  7. Fai clic su Salva.

  8. Accanto a Nome servizio directory, fai clic su Scollega il dominio AD.

  9. Nel campo della finestra Vuoi disconnetterti dal dominio?, inserisci il nome. del dominio da cui vuoi disconnetterti.

  10. Fai clic su Disconnetti.

Modifica le regole di accesso

  1. Aggiorna la pagina. Tieni presente che ora Nome servizio directory è impostato su Nessuna.

  2. Fai clic su Modifica.

  3. Nel riquadro Modifica condivisione, individua la regola che imposta l'accesso per un ruolo diversi da Amministratore, come Editor. Nella regola, fai clic su Monta sec= ... e seleziona sys per aggiungerla alla dell'ambientazione. Fai clic su OK.

  4. Fai clic su Salva.

  5. Aggiorna la pagina.

    Le impostazioni della regola vengono aggiornate.

Riconnetti un Microsoft AD gestito a un'istanza Filestore

  1. Riconnettere un'istanza Filestore a Microsoft Active Directory gestito.

    Nel riquadro Punto di montaggio NFS, sotto Protocollo, accanto a Nome servizio di directory, fai clic su Aggiungi al dominio AD.

  2. Nella finestra Unisci questa istanza a un dominio Active Directory, seleziona Utilizza i domini del progetto corrente nel Nel menu Join a Active Directory Domain (Aggiungi un dominio Active Directory), seleziona il dominio che vuoi per gli utilizzi odierni.

  3. Nel menu Nome account computer, inserisci un nome.

  4. Fai clic su Join Domain.

  5. Aggiorna la pagina. Tieni presente che Nome servizio di directory è stato aggiornato con la tua selezione.

  6. Fai clic su Modifica.

  7. Nel riquadro Modifica condivisione, fai clic su Installa sec= ... in tutte le regole applicabili e rimuovi il sys selezione. Fai clic su OK.

  8. Fai clic su Salva.

  9. Aggiorna la pagina.

    Le impostazioni della regola vengono aggiornate.

Passaggi successivi