NFSv4.1-Protokoll konfigurieren

In der folgenden Anleitung erfahren Sie, wie Sie das NFSv4.1-Protokoll mit einem neuen Filestore-Instanz.

NFSv4.1

Filestore bietet Unterstützung für das NFSv4.1-Protokoll für Instanzen, die in den folgenden Dienststufen erstellt wurden:

  • Zonal
  • Regional
  • Enterprise

Diese Funktion kann in Managed Service for Microsoft Active Directory (Managed Microsoft AD) eingebunden werden, um Arbeitslasten zu unterstützen, für die Client- und Serverauthentifizierung, Integritätsprüfungen von Nachrichtendaten und die Verschlüsselung von Daten während der Übertragung erforderlich sind. Diese Funktionen waren bisher in Filestore nicht verfügbar.

  • Die Authentifizierung wird mit LDAP und Kerberos unterstützt und umfasst die folgenden Sicherheitsoptionen (Einstellungen):

    • Client- und Serverauthentifizierung (krb5).
    • Nachrichtenintegritätsprüfungen (krb5i). Enthält die Funktionen der vorherigen Einstellung.
    • Verschlüsselung von Daten während der Übertragung (krb5p). Enthält die Funktionen der vorherigen Einstellung.

Managed Microsoft AD ist die einzige vollständig verwaltete Google Cloud-Lösung, die sowohl LDAP als auch Kerberos unterstützt. Das sind Anforderungen für das NFSv4.1-Protokoll und seine Sicherheits- und Datenschutzvorteile. Die Integration mit Managed Microsoft AD ist zwar nicht erforderlich, wird aber für eine optimale Nutzererfahrung in Google Cloud dringend empfohlen, um Nutzerkonten und schwankende Gruppen und Berechtigungen zu verwalten.

Sollten Sie NFSv4.1 verwenden?

Viele Unternehmen setzen für geschäftskritische Abläufe auf Legacy-Systeme. Viele dieser Systeme erfordern eine Authentifizierung und Daten während der Übertragung. Verschlüsselung für ihren Netzwerkdateispeicher. NFSv3 wurde nicht mit Authentifizierung. Die NFSv4.1-Protokollintegration von Filestore mit Managed Microsoft AD erfüllt diese wichtige Nutzeranforderung jetzt.

Lernziele

In diesem Leitfaden erfahren Sie, wie Sie die folgenden Aufgaben ausführen:

Filestore-Instanz mit NFSv4.1 erstellen

Wenn Sie Managed Microsoft AD mit einer Filestore-Instanz verwenden möchten, muss die Managed Microsoft AD-Domain vor der Filestore-Instanz erstellt werden.

Hinweise

  1. Sowohl die Managed Microsoft AD-Domain als auch Filestore muss dieselbe VPC während sie an demselben Projekt arbeiten.

    Wenn Ihr Managed Microsoft AD-Dienst in einem anderen Projekt als die Filestore-Instanz, die Sie verwenden möchten, und dann die Filestore-Instanz Das VPC-Netzwerk muss über Peering mit der Managed Microsoft AD-Domain verbunden werden.

    Weitere Informationen finden Sie unter Managed Microsoft AD mit projektübergreifendem Zugriff mithilfe von Domain-Peering bereitstellen.

  2. Führen Sie alle Einrichtungsschritte aus, um eine Filestore-Instanz zu erstellen.

  3. Achten Sie darauf, dass für Managed Microsoft AD-Nutzer die Felder POSIX RFC 2307 und RFC 2307bis ausgefüllt sind, ähnlich wie unten dargestellt.

    Weitere Informationen zum Konfigurieren von Objekten in Managed Microsoft AD finden Sie unter Verwaltete Active Directory-Objekte.

    Active Directory-Nutzer und ‑Computer

    In den folgenden Schritten werden die Attribute beschrieben, die Sie für LDAP-Nutzer und ‑Gruppen festlegen müssen. Sie können POSIX-Attribute mit dem MMC-Snap-In Active Directory-Nutzer und -Computer verwalten.

    So öffnen Sie den Attribut-Editor:

    1. Klicken Sie auf Start.

    2. Klicken Sie auf Windows-Verwaltungstools und wählen Sie Active Directory-Nutzer und ‑Computer aus.

      Das Fenster Active Directory-Nutzer und -Computer wird geöffnet.

    3. Wählen Sie den Domainnamen aus, den Sie ansehen möchten. Klicken Sie auf den Erweiterungspfeil , um den Inhalt zu maximieren.

    4. Wählen Sie im Menü Ansicht des Snap-ins „Active Directory-Nutzer und -Computer“ die Option Erweiterte Funktionen aus.

    5. Doppelklicken Sie im linken Bereich auf Users (Nutzer).

    6. Doppelklicken Sie in der Nutzerliste auf einen Nutzer, um den zugehörigen Attribut-Editor aufzurufen. .

      Für LDAP-Nutzer müssen die folgenden Attribute festgelegt sein:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Jeder Nutzer muss eine eindeutige uidNumber haben. Beachten Sie, dass der Wert für das Feld Beim Attribut uid wird zwischen Groß- und Kleinschreibung unterschieden. Für das Attribut objectClass ist user die Standardeinstellung bei den meisten Active Directory-Bereitstellungen (AD). Hier ein Beispiel:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Für LDAP-Gruppen müssen die folgenden Attribute festgelegt sein:

      • cn
      • gidNumber
      • objectClass

      Jede Gruppe muss eine eindeutige gidNumber haben. Bei dem Wert für das Attribut cn wird die Groß- und Kleinschreibung berücksichtigt. Beim Attribut objectClass group ist bei den meisten AD-Bereitstellungen die Standardeinstellung. Folgendes ist Hier ein Beispiel:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Filestore-Zugriff zum Erstellen und Verwalten von Objekten in gewähren Verwaltete Microsoft AD mithilfe der gcloud projects add-iam-policy-binding Befehl:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Ersetzen Sie Folgendes:

    • MANAGED_MICROSOFT_AD_PROJECT_ID ist die Projekt-ID des Projekts, in dem sich die Managed Microsoft AD-Domain befindet.
    • PROJECT_ID ist die Projekt-ID des Projekts, in dem sich die Filestore-Instanz befindet.

    Möglicherweise wird ein Fehler wie dieser angezeigt:

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.

    Ist dies der Fall, verwenden Sie den folgenden Befehl, um das Problem zu beheben:

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Filestore-Instanz mit oder ohne Managed Microsoft AD erstellen

In diesem Abschnitt erstellen Sie eine Filestore-Instanz, die zur Verwendung konfiguriert ist mit dem NFSv4.1-Protokoll. Für Nutzer, die sich dagegen entscheiden, sind optionale Schritte enthalten. Managed Microsoft AD verwenden.

  • Achten Sie darauf, dass Ihr Kontingent ausreicht.

    Die Instanzkontingente richten sich nach dem Regionsstandort und der Dienststufe, die Sie verwenden möchten. Wenn Sie das verfügbare Kontingent erhöhen möchten, müssen Sie eine Anfrage zur Kontingenterhöhung einreichen.

Google Cloud Console

Instanzparameter einrichten

  1. Rufen Sie in der Google Cloud Console die Filestore-Instanzen auf. Seite.

    Zur Seite mit den Filestore-Instanzen

  2. Klicken Sie auf Instanz erstellen.

  3. Geben Sie die grundlegenden Parameter der Instanz an, einschließlich Name, Instanztyp und Kapazität:

    1. Geben Sie im Feld Instanz-ID den Namen ein, den Sie für die Filestore-Instanz verwenden möchten.

    2. Wählen Sie unter Instanztyp die Option Regional oder Zonal aus.

      Zum Erstellen einer Unternehmensinstanz müssen Sie Vorgänge ausführen direkt über die Filestore API.

    3. Geben Sie unter Zugewiesene Kapazität die Kapazität ein, die Sie verwenden möchten. Sie müssen einen Wert zwischen 1 TB und 10 TB in Schritten von 256 GiB (0,25 TiB) eingeben.

    4. Wählen Sie unter Region die Region aus, die Sie verwenden möchten.

    5. Wählen Sie unter VPC-Netzwerk das Netzwerk aus, das Sie für die Filestore-Instanz und NFS-Clients verwenden möchten.

      • Managed Microsoft AD befindet sich im selben Projekt wie Filestore muss das VPC-Netzwerk im Verwaltete Microsoft AD-Domain.
      • Wenn sich Managed Microsoft AD in einem separaten Projekt befindet, Netzwerk sollte mit Active Directory-Netzwerk-Peering konfiguriert sein der Managed Microsoft AD-Konfiguration.

    6. Wählen Sie unter Zugewiesener IP-Bereich die Option Automatisch zugewiesenen IP-Bereich verwenden (empfohlen).

    7. Wählen Sie unter Protokoll die Option NFSv4.1 aus.

Authentifizierungseinstellungen der Instanz konfigurieren

  1. Konfigurieren Sie die Authentifizierungseinstellungen der Instanz.
    1. Klicken Sie auf Authentifizierung.
    2. Wählen Sie das Projekt aus, in dem Managed Microsoft AD gehostet wird. In diesem Leitfaden gehen wir davon aus, dass das aktuelle Projekt das gewünschte ist.
    3. Wählen Sie in der Liste Einer Active Directory-Domain beitreten die gewünschte Managed Microsoft AD-Domain aus.
    4. Geben Sie im Feld Computerkontoname den Namen des Computerkontos ein, mit dem Sie die Filestore-Instanz in der Managed Microsoft AD-Domain identifizieren möchten. Der Name darf maximal 15 alphanumerische Zeichen enthalten.
    5. Geben Sie im Feld Dateifreigabename den Namen der Freigabe ein, der von den NFSv4.1-Clients verwendet wird.

  2. Führen Sie im Bereich Zugriffssteuerung einen der folgenden Schritte aus:

    • Wenn Sie Managed Microsoft AD verwenden, wählen Sie Zugriff anhand von IP-Adresse oder -Bereich einschränken

      1. Legen Sie die Zugriffsregel für die IP-Adresse oder das Subnetz fest, die bzw. das Sie definieren möchten. Verwenden Sie für diese Anleitung die folgenden Einstellungen:
      2. Geben Sie im Feld IP-Adresse oder Bereich 1 die IP-Adresse oder den Bereich ein, den Sie verwenden möchten.
      3. Klicken Sie auf die Drop-down-Liste Zugriff 1 und wählen Sie Admin aus.
      4. Klicken Sie auf das Drop-down-Menü Mountsec= 1 und setzen Sie ein Häkchen in das Kästchen sys.

      Der standardmäßige /-Inhaber von Filestore ist root. Wenn Sie anderen Nutzern und Gruppen Zugriff auf die Instanz gewähren möchten, müssen Sie eine Zugriffsregel erstellen, die den Zugriff auf die Verwaltungs-VM mit der Rolle Admin und der Sicherheitseinstellung sec=sys ermöglicht.

    • Wenn Sie Managed Microsoft AD nicht verwenden, wählen Sie Allen Clients im VPC-Netzwerk Zugriff erteilen aus.

      Wenn Managed Microsoft AD nicht verwendet wird, wird die einzige unterstützte Sicherheitseinstellung ist sec=sys.

  3. Klicken Sie auf Erstellen, um die Instanz zu erstellen.

gcloud

  1. Installieren und initialisieren Sie die gcloud CLI.

    Wenn Sie die gcloud CLI bereits installiert haben, führen Sie den folgenden Befehl aus, um sie zu aktualisieren:

    gcloud components update

  2. Führen Sie einen der folgenden Schritte aus:

    1. Wenn Sie Managed Microsoft AD verwenden, führen Sie Folgendes aus: gcloud beta filestore instances create um eine zonale Filestore-Datei zu erstellen, regionale oder Unternehmensinstanz:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
--managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
--project=CONSUMER_PROJECT_ID

      Ersetzen Sie Folgendes:

      • INSTANCE_ID ist die Instanz-ID von Filestore die Sie erstellen möchten. Siehe Instanz benennen.
      • DESCRIPTION ist die Beschreibung der gewünschten Instanz. zu verwenden.
      • LOCATION ist der Ort, an dem sich der Die zu speichernde Filestore-Instanz.
      • TIER ist die Dienststufe. die Sie verwenden möchten.
      • PROTOCOL ist NFS_v4_1.
      • FILE_SHARE_NAME ist der Name, den Sie für das NFS angeben Dateifreigabe, die von der Instanz bereitgestellt wird.
      • CAPACITY ist die gewünschte Größe der Dateifreigabe. zwischen 1 TiB und 10 TiB liegen.

      • VPC_NETWORK ist der Name des VPC-Netzwerks, das von der Instanz verwendet werden soll. Siehe VPC-Netzwerk auswählen. Wenn Sie eine freigegebene VPC über ein Dienstprojekt festlegen möchten, müssen Sie den voll qualifizierten Netzwerknamen im Format projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME und connect-mode=PRIVATE_SERVICE_ACCESS angeben, ähnlich wie hier:

        --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

        Sie können für den Wert vpc_network kein Legacy-Netzwerk festlegen. Erstellen Sie bei Bedarf ein neues VPC-Netzwerk. Folgen Sie dazu der Anleitung unter VPC-Netzwerk im automatischen Modus erstellen.

      • MANAGED_AD_PROJECT_ID ist die Projekt-ID, wobei der Der verwaltete Microsoft AD-Dienst befindet sich.

      • MANAGED_AD_DOMAIN_NAME ist der Domainname des zu verwendenden Managed Microsoft AD-Dienstes. Es ist die Domain. Name, den Sie beim Erstellen eines Managed Microsoft AD auswählen. .

      • DOMAIN_COMPUTER_ACCOUNT ist ein beliebiger Name, unter dem der Cluster in der Domain aufgerufen werden soll.

      • CONSUMER_PROJECT_ID ist die Projekt-ID des Projekts, enthält die Filestore-Instanz.

      • CONNECT_MODE ist DIRECT_PEERING oder PRIVATE_SERVICE_ACCESS. Wenn Sie eine freigegebene VPC als Netzwerk angeben, müssen Sie auch PRIVATE_SERVICE_ACCESS als Verbindungsmodus angeben. Dieses Flag ist für VPC-Netzwerk-Peering erforderlich, mit Managed Microsoft AD.

      • RESERVED_IP_RANGE ist der IP-Adressbereich für die Filestore-Instanz. Wenn Sie connect-mode=PRIVATE_SERVICE_ACCESS angeben und einen reservierten IP-Adressbereich verwenden möchten, müssen Sie den Namen eines zugewiesenen Adressbereichs anstelle eines CIDR-Bereichs angeben. Weitere Informationen finden Sie unter Reservierte IP-Adresse konfigurieren. Wir empfehlen, dieses Flag zu überspringen, damit Filestore automatisch einen freien IP-Adressbereich findet und der Instanz zuweist.

    2. Wenn Sie Managed Microsoft AD nicht verwenden, führen Sie denselben Befehl wie die vorherigen Schritt zum Erstellen einer Filestore-Instanz, durch Weglassen des Flags --managed-ad und der Flags für VPC-Netzwerk-Peering. nämlich connect-mode und reserved-ip-range. Verwenden Sie Folgendes: -Befehl als Beispiel:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK" \
--project=CONSUMER_PROJECT_ID

Netzwerkbasierte Zugriffssteuerungslisten (ACLs) in NFSv4.1

Bei NFSv3 wird nur die Sicherheitsvariante sys unterstützt. Mit dieser Einstellung wird die Nutzer uid und gid, die vom Client während der Bereitstellung bereitgestellt werden.

Im Filestore NFSv4.1-Protokoll sind mehrere Netzwerk-ACL-Sicherheitsvarianten oder -einstellungen verfügbar:

  • krb5

    Authentifiziert den Client mithilfe eines Kerberos-Tickets, das validiert wird mit dem Managed Microsoft AD Kerberos-Server vergleichen.

  • krb5i

    Umfasst die von krb5 bereitgestellte Authentifizierung und verwendet Kerberos, um Nachrichtenintegritätsprüfungen für den gesamten Netzwerkverkehr zu und von der Instanz durchzuführen.

  • krb5p

    Umfasst die Authentifizierung von krb5 und die Nachrichtenintegritätsprüfungen von krb5i. Außerdem wird Kerberos für die Datenverschlüsselung während der Übertragung verwendet.

Wenn Sie diese Optionen nutzen möchten, ist erforderlich.

Wenn keine Domain für Managed Service for Microsoft Active Directory angegeben ist, wird nur die sys-Sicherheitsvariante unterstützt.

Weitere Informationen finden Sie unter Einschränkungen von NFSv4.1.

Filestore-NFSv4.1-Instanzen auf Linux-Clients bereitstellen

Die folgenden Schritte zeigen, wie Sie Instanzen auf Linux-Clients bereitstellen.

  • Bereitstellung mit sec=sys für standardmäßige NFS-Berechtigungen:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Mit sec=krb5 für die Kerberos-basierte Authentifizierung bereitstellen:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Mit sec=krb5i bereitstellen, um eine Kerberos-basierte Authentifizierung und Nachrichtenintegritätsprüfung zu verwenden:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Mit sec=krb5p bereitstellen, um eine Kerberos-basierte Authentifizierung, Integritätsprüfungen und die Verschlüsselung während der Übertragung zu ermöglichen:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

    Ersetzen Sie Folgendes:

    • FILESTORE-INSTANCE-FQDN ist der vollständig qualifizierte Domainname, unter dem sich die Filestore-Instanz befindet.
    • INSTANCE_SHARE_POINT der Dateifreigabename von Filestore ist. Instanz, die Sie verbinden möchten.
    • MOUNT_POINT ist der Name des Bereitstellungspunkts oder Verzeichnisses, das bereitgestellt werden soll.

Linux-Clientkonfiguration

Mit einer NFSv4.1-Filestore-Instanz können Clients NFS-Vorgänge ausführen mit verschiedenen Sicherheits-Varianten. Diese Varianten werden von der Instanz konfiguriert über Netzwerk-ACLs in Filestore NFSv4.1 während der Erstellung oder nach der Erstellung aktualisiert wird.

sys verwendet die Standard-Unix-Authentifizierung, während krb5, Die Varianten krb5i und krb5p verwenden die Kerberos-basierte Authentifizierung.

Bei den Varianten krb5, krb5i und krb5p müssen die Clients mit derselben Managed Microsoft AD-Domain wie die Filestore-Instanz verbunden sein. Führen Sie die folgenden für Ihre Umgebung geeigneten Schritte aus.

Ubuntu-Image

  1. Stellen Sie eine SSH-Verbindung zur Compute Engine-Instanz her.

  2. Führen Sie die folgenden Befehle aus, um der Managed Microsoft AD-Domain beizutreten.

    1. Führen Sie den folgenden Setup-Befehl aus:

      sudo apt-get update \
sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry

    2. Wenn Sie nach dem Realm gefragt werden, ersetzen Sie den vorhandenen Eintrag durch die Managed Microsoft AD-Domain, die für die Filestore-Instanz verwendet wird. Geben Sie den Wert in Großbuchstaben ein und drücken Sie dann die Pfeiltaste um OK auszuwählen. Drücken Sie dann die Eingabetaste.

    3. Wenn Sie nach Hosts gefragt werden, lassen Sie das Feld leer und fahren Sie fort.

    4. Führen Sie einen der folgenden Schritte aus:

      • Führen Sie für VMs mit einem Hostnamen mit maximal 15 Zeichen den folgenden Befehl aus:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

        Ersetzen Sie Folgendes:

        • JOIN_DOMAIN_USER ist der Name des Nutzerkontos, mit dem die Domain beigetreten wurde.
        • MANAGED_AD_DOMAIN_NAME ist der Domainname des Verwalteter Microsoft AD-Dienst, den Sie verwenden möchten.

      • Führen Sie für VMs mit einem Hostnamen, der mehr als 15 Zeichen lang ist, den folgenden Befehl aus:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

        Ersetzen Sie Folgendes:

        • JOIN_DOMAIN_USER ist der Name des Nutzerkontos, mit dem die Domain beigetreten wurde.
        • MANAGED_AD_REALM_NAME ist der Realmname des zu verwendenden Managed Microsoft AD-Dienstes.
        • MANAGED_AD_DOMAIN_NAME ist der Domainname des Verwalteter Microsoft AD-Dienst, den Sie verwenden möchten.

  3. Aktualisieren Sie die Kerberos-Konfiguration. Aktualisieren Sie /etc/krb5.conf mit der erforderlichen Realm-Definition und der Realm-Domainzuordnung:

     [realms]
          DOMAIN_NAME = {
                   kdc = DOMAIN_NAME
                   default_domain = DOMAIN_NAME
          }
 [domain_realm]
          .domain_name_lowercase = DOMAIN_NAME
          domain_name_lowercase = DOMAIN_NAME

    Ersetzen Sie Folgendes:

    • DOMAIN_NAME ist der gewünschte Domainname in Großbuchstaben.
    • domain_name_lowercase ist der Domainname, den Sie verwenden möchten. in Kleinbuchstaben ein.

    Hier ein Beispiel:

    [realms]
       FILE.DEMO.LOCAL = {
                kdc = FILE.DEMO.LOCAL
                default_domain = FILE.DEMO.LOCAL
       }

[domain_realm]
       .file.demo.local = FILE.DEMO.LOCAL
       file.demo.local = FILE.DEMO.LOCAL

  4. Führen Sie den Dienst „rpc-gssd“ aus. Fügen Sie den folgenden No-Strip-Attributwert hinzu zum Abschnitt [General] innerhalb von /etc/idmapd.conf:

     [General]
 No-Strip = both

  5. Führen Sie dazu diesen Befehl aus:

    sudo systemctl restart rpc-gssd

Centos-Bild

  1. Wechseln Sie zur Compute Engine-Instanz.

  2. Domainbeitritt in Managed Microsoft AD:

    sudo yum update \
sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients

  3. Führen Sie einen der folgenden Schritte aus:

    • Führen Sie für VMs mit einem Hostnamen mit maximal 15 Zeichen den folgenden Befehl aus:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

      Ersetzen Sie Folgendes:

      • JOIN_DOMAIN_USER ist der Name des Nutzerkontos, mit dem die Domain beigetreten wurde.
      • MANAGED_AD_DOMAIN_NAME ist der Domainname des zu verwendenden Managed Microsoft AD-Dienstes.

    • Führen Sie für VMs mit einer Hostnamenlänge mehr als 15 Zeichen den Befehl folgenden Befehl:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

      Ersetzen Sie Folgendes:

      • JOIN_DOMAIN_USER ist der Name des Nutzerkontos. die für den Domainbeitritt verwendet wurden.
      • MANAGED_AD_REALM_NAME ist der Realmname des zu verwendenden verwalteten Microsoft AD-Dienstes.
      • MANAGED_AD_DOMAIN_NAME ist der Domainname des zu verwendenden Managed Microsoft AD-Dienstes.

  4. Prüfen Sie, ob der sssd-Dienst ausgeführt wird:

    sudo systemctl status sssd

  5. Führen Sie den rpc-gssd-Dienst aus. Fügen Sie dem Abschnitt [General] in /etc/idmapd.conf unter dem Attributwert No-Strip Folgendes hinzu:

    [General]
No-Strip = both

  6. Führen Sie den folgenden Befehl aus: Dieser Befehl sorgt dafür, dass der NFS-Client entfernen Sie den Domainnamen aus dem Hostnamen des NFS-Servers. Weitere Informationen Siehe NFS-Ganesha-Listenarchive und Arch Linux Archive:

    sudo systemctl start rpc-gssd

Verbindung zu Managed Microsoft AD von einer Filestore-Instanz trennen und wiederherstellen

Google Cloud Console

Managed Microsoft AD von einer Filestore-Instanz trennen

  1. Verbindung zu einer Filestore-Instanz trennen, die mit Managed Microsoft AD verbunden ist.

    Rufen Sie in der Google Cloud Console die Seite "Filestore-Instanzen" auf.

    Zur Seite mit den Filestore-Instanzen

  2. Klicken Sie auf die ID der Instanz, die Sie bearbeiten möchten.

  3. Klicken Sie im Bereich NFS-Bereitstellungspunkt unter Protokoll neben Name des Verzeichnisdienstes auf Verbindung zur AD-Domain trennen.

  4. Lesen Sie im Fenster Verbindung zur Domain fehlgeschlagen die Benachrichtigung und gehen Sie dann so vor: Klicken Sie auf Instanz bearbeiten.

    Mindestens eine Regel unter Zugriffssteuerung muss der Rolle „Administrator“ mit der Sicherheitseinstellung für die Bereitstellung sys zugewiesen sein, z. B. Access=Admin Mount und sec=sys.

  5. Suchen Sie im Bereich Freigabe bearbeiten die Regel, in der Zugriff ist auf Administrator festgelegt. Klicken Sie auf sec= bereitstellen und wählen Sie sys, um der vorhandenen Einstellung diese Option hinzuzufügen.

  6. Klicken Sie auf OK.

  7. Klicken Sie auf Speichern.

  8. Klicken Sie neben Name des Verzeichnisdienstes auf Verbindung zur AD-Domain trennen

  9. Geben Sie im Fenster Verbindung zur Domain trennen? den Namen des der Domain, von der Sie die Verbindung trennen möchten.

  10. Klicken Sie auf Verbindung trennen.

Zugriffsregeln bearbeiten

  1. Aktualisieren Sie die Seite. Name des Verzeichnisdienstes ist jetzt auf Keine:

  2. Klicken Sie auf Bearbeiten.

  3. Suchen Sie im Bereich Freigabe bearbeiten nach einer Regel, mit der der Zugriff für eine andere Rolle als Administrator festgelegt wird, z. B. Bearbeiter. Klicken Sie in der Regel auf sec= bereitstellen … und wählen Sie sys aus, um sie der vorhandenen Einstellung hinzuzufügen. Klicken Sie auf OK.

  4. Klicken Sie auf Speichern.

  5. Aktualisieren Sie die Seite.

    Die Regeleinstellungen werden aktualisiert.

Verwaltetes Microsoft AD wieder mit einer Filestore-Instanz verbinden

  1. Verbinden Sie eine Filestore-Instanz wieder mit Managed Microsoft AD.

    Klicken Sie im Bereich NFS-Einhängepunkt unter Protokoll neben Name des Verzeichnisdienstes auf AD-Domain beitreten.

  2. Wählen Sie im Fenster Diese Instanz mit einer Active Directory-Domain verknüpfen die Option Domains aus dem aktuellen Projekt verwenden aus und dann im Menü Einer Active Directory-Domain beitreten die gewünschte Domain.

  3. Geben Sie im Menü Computerkontoname einen Namen ein.

  4. Klicken Sie auf Domain beitreten.

  5. Aktualisieren Sie die Seite. Der Name des Verzeichnisdiensts wurde mit Ihrer Auswahl aktualisiert.

  6. Klicken Sie auf Bearbeiten.

  7. Klicken Sie im Bereich Freigabe bearbeiten auf Montieren Sie sec= ... in allen anwendbaren Regeln und entfernen Sie sys Auswahl. Klicken Sie auf OK.

  8. Klicken Sie auf Speichern.

  9. Aktualisieren Sie die Seite.

    Die Regeleinstellungen werden aktualisiert.

Nächste Schritte