Configurar o protocolo NFSv4.1

O guia a seguir mostra como implementar o protocolo NFSv4.1 com uma nova instância do Filestore.

Sobre o NFSv4.1

O Filestore oferece suporte ao protocolo NFSv4.1 (Prévia) para instâncias criadas nos seguintes níveis de serviço:

  • Zonal
  • Regional
  • Enterprise

Esse recurso pode ser integrado Serviço gerenciado para o Microsoft Active Directory (Microsoft AD gerenciado) para dar suporte a cargas de trabalho que exigem autenticação de cliente e servidor, dados de mensagens verificações de integridade e criptografia de dados em trânsito, não disponíveis no Filestore.

  • A autenticação é compatível com o LDAP e Kerberos e inclui a seguintes variações de segurança (configurações):

    • Autenticação de cliente e servidor (krb5).
    • Verificações de integridade da mensagem (krb5i). Inclui os recursos do configuração anterior.
    • Criptografia de dados em trânsito (krb5p). Inclui os recursos do configuração anterior.

O Microsoft AD gerenciado é a única solução do Google Cloud totalmente gerenciada que oferece suporte a LDAP e Kerberos, os requisitos para sobre o protocolo NFSv4.1 e os benefícios de segurança e privacidade. Durante a integração com o Microsoft AD gerenciado não é necessário, mas é altamente recomendado para uma a melhor experiência do usuário do Google Cloud para gerenciar contas de usuários e variações grupos e permissões do Google Cloud.

Devo usar o NFSv4.1?

Muitas organizações empresariais usam sistemas legados para operations. Muitos desses sistemas exigem autenticação e em trânsito e criptografia para o armazenamento de arquivos em rede. O NFSv3 não foi projetado com a autenticação em mente. a integração do protocolo NFSv4.1 do Filestore com O Microsoft AD gerenciado agora atende a esse requisito essencial do usuário.

Objetivos

Neste guia, você vai aprender a realizar as seguintes tarefas:

Criar uma instância do Filestore que use o NFSv4.1

Para usar o Microsoft AD gerenciado com uma instância do Filestore, o O domínio do Microsoft AD gerenciado precisa ser criado antes do Filestore instância.

Antes de começar

  1. O domínio do Microsoft AD gerenciado e o Filestore precisa usar a mesma VPC enquanto estão no mesmo projeto.

    Se o serviço do Microsoft AD gerenciado estiver hospedado em um projeto separado do a instância do Filestore que você quer usar e o arquivo A rede VPC precisa estar em peering com o domínio do Microsoft AD gerenciado.

    Para mais informações, consulte Implantar o Microsoft AD gerenciado com acesso entre projetos usando peering de domínio.

  2. Conclua todas as etapas de configuração para criar uma instância do Filestore.

  3. Verifique se os usuários do Microsoft AD gerenciado têm o formato POSIX RFC 2307. e RFC 2307bis campos preenchidos, semelhante ao seguinte:

    Para mais informações sobre como configurar objetos no Microsoft AD gerenciado, consulte Objetos gerenciados do Active Directory.

    Usuários e computadores do Active Directory

    As etapas a seguir descrevem os atributos que você precisa definir para o LDAP usuários e grupos. Você pode gerenciar os atributos POSIX usando o campo Ativo Snap-in do MMC de usuários do diretório e computadores.

    Abra o Editor de atributos da seguinte forma:

    1. Clique em Iniciar.

    2. Clique em Ferramentas Administrativas do Windows e selecione Usuários e Computadores do Active Directory.

      A janela Usuários e computadores do Active Directory é aberta.

    3. Selecione o nome de domínio que você quer ver. Para expandir o conteúdo, Clique na seta de expansão.

    4. No menu Exibir em usuários do Active Directory e computadores, selecione Recursos Avançados.

    5. No painel à esquerda, clique duas vezes em Usuários.

    6. Na lista de usuários, clique duas vezes em um usuário para ver o Editor de atributos dele. .

      Os usuários LDAP precisam ter os seguintes atributos definidos:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Cada usuário precisa ter um uidNumber exclusivo. Observe que o valor do atributo O atributo uid diferencia maiúsculas de minúsculas. Para o atributo objectClass, user é a configuração padrão na maioria das implantações do Active Directory (AD). Veja um exemplo abaixo.

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Os grupos LDAP precisam ter os seguintes atributos definidos:

      • cn
      • gidNumber
      • objectClass

      Cada grupo precisa ter um gidNumber exclusivo. Observe que o valor do atributo O atributo cn diferencia maiúsculas de minúsculas. Para o atributo objectClass, group é a configuração padrão na maioria das implantações do AD. Confira a seguir um exemplo:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Conceda acesso ao Filestore para criar e gerenciar objetos no Microsoft AD gerenciado usando o gcloud projects add-iam-policy-binding comando:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(PROJECT_ID)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Substitua:

    • MANAGED_MICROSOFT_AD_PROJECT_ID é o ID do projeto do projeto em que o domínio do Microsoft AD gerenciado está localizado.
    • PROJECT_ID é o ID do projeto em que o instância do Filestore localizada.

    O seguinte erro pode aparecer:

    INVALID_ARGUMENT: Service account service-PROJECT_ID@cloud-filer.iam.gserviceaccount.com does not exist.

    Nesse caso, use o seguinte comando para resolvê-lo:

    gcloud beta services identity create --service=file.googleapis.com -project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Criar uma instância do Filestore com ou sem o Microsoft AD gerenciado

Nesta seção, você vai criar uma instância do Filestore configurada para uso com o protocolo NFSv4.1. Etapas opcionais estão incluídas para usuários que optam por não usar o Microsoft AD gerenciado.

  • Verifique se você tem cota suficiente.

    Intervalos de cota de instância por local da região e nível de serviço que você quer usar. Para aumentar a cota disponível, você precisa enviar uma solicitação de aumento de cota.

Console do Google Cloud

Configurar os parâmetros de instância

  1. No console do Google Cloud, acesse as instâncias do Filestore página.

    Acessar a página de instâncias do Filestore

  2. Clique em Criar instância.

  3. Especifique os parâmetros básicos da instância, incluindo nome, instância tipo e capacidade:

    1. No campo ID da instância, digite o nome que você quer usar para instância do Filestore.

    2. Em Tipo de instância, selecione Regional ou Zonal.

      Para criar uma instância corporativa, é necessário executar operações diretamente pela API Filestore.

    3. Em Capacidade alocada, insira a capacidade que você quer usar. Você deve inserir um valor entre 1 TB e 10 TB, em incrementos de 256 GiB (0,25 TiB).

    4. Em Região, selecione a região que você quer usar.

    5. Em Rede VPC, selecione a rede que você quer usar instância do Filestore e clientes NFS.

      • Se o Microsoft AD gerenciado estiver no mesmo projeto que o Filestore a rede VPC precisa ser autorizada Domínio do Microsoft AD gerenciado.
      • Se o Microsoft AD gerenciado estiver em um projeto separado, a VPC rede deve ser configurada com peering de rede do Active Directory ativado a configuração do Microsoft AD gerenciado.

    6. Em Intervalo de IP alocado, selecione Usar um intervalo de IP alocado automaticamente (recomendado).

    7. Em Protocolo, selecione NFSv4.1.

Definir as configurações de autenticação da instância

  1. Defina as configurações de autenticação da instância.
    1. Clique em Autenticação.
    2. Selecione o projeto que hospeda o Microsoft AD gerenciado. Para o propósito deste guia, vamos supor que o projeto atual é o que queremos usar.
    3. Na lista Participar de um domínio do Active Directory, selecione o Domínio do Microsoft AD gerenciado que você quer usar.
    4. No campo Nome da conta do computador, digite o nome da conta do computador. que você quer usar para identificar a instância do Filestore na Domínio do Microsoft AD gerenciado. O nome é limitado a 15 caracteres alfanuméricos.
    5. No campo Nome do compartilhamento de arquivos, digite o nome do compartilhamento. serão usados pelos clientes NFSv4.1.

  2. No painel Controle de acesso, conclua uma das seguintes etapas:

    • Se estiver usando o Microsoft AD gerenciado, selecione Restringir o acesso por intervalo ou endereço IP.

      1. Defina a regra de acesso por IP ou sub-rede. Para o finalidade deste guia, use as seguintes configurações:
      2. No campo Endereço IP ou intervalo 1, digite o endereço IP. ou intervalo que você quer usar.
      3. Clique na lista suspensa Acesso 1 e selecione Administrador.
      4. Clique na lista suspensa Montarsec= 1 e selecione as sys.

      O proprietário / padrão do Filestore é root. Para permitir o acesso de outros usuários e grupos à instância crie uma regra de acesso para ativar a VM de gerenciamento o acesso usando o papel Admin e a segurança sec=sys do ambiente.

    • Se você não usa o Microsoft AD gerenciado, selecione Conceda acesso a todos os clientes na rede VPC.

      Se o Microsoft AD gerenciado não for usado, o único configuração de segurança é sec=sys.

  3. Clique em Criar para criar a instância.

gcloud

  1. Instale e inicialize a CLI gcloud.

    Se você já tiver a CLI gcloud instalada, execute o seguinte para atualizá-lo:

    gcloud components update

  2. Siga uma destas etapas:

    1. Se estiver usando o Microsoft AD gerenciado, execute o seguinte: gcloud beta filestore instances create para criar uma zona do Filestore, regional ou empresarial:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
--managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
--project=CONSUMER_PROJECT_ID

      Substitua:

      • INSTANCE_ID é o ID da instância do Filestore; que você quer criar. Consulte Nomeie sua instância.
      • DESCRIPTION é uma descrição da instância que você quer usar.
      • LOCATION é o local em que você quer instância do Filestore para residir.
      • TIER é o nível de serviço. que você quer usar.
      • PROTOCOL é NFS_v4_1.
      • FILE_SHARE_NAME é o nome que você especifica para o NFS. do compartilhamento de arquivos que é veiculado da instância.
      • CAPACITY é o tamanho que você quer para o compartilhamento de arquivos; entre 1 TiB e 10 TiB.

      • VPC_NETWORK é o nome da VPC. rede que a instância usará. Consulte Selecione a rede VPC. Se você quiser especificar uma VPC compartilhada de um serviço projeto, especifique o nome da rede totalmente qualificado, que está no formato projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME e você precisa especificar connect-mode=PRIVATE_SERVICE_ACCESS, semelhante para o seguinte:

        --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

        Não é possível especificar uma rede legada para o valor vpc_network. Se necessário, crie uma nova rede VPC a ser usada seguindo as instruções Crie uma rede VPC de modo automático.

      • MANAGED_AD_PROJECT_ID é o ID do projeto em que O serviço do Microsoft AD gerenciado está localizado.

      • MANAGED_AD_DOMAIN_NAME é o nome de domínio do Serviço gerenciado do Microsoft AD que você quer usar. É o domínio o nome escolhido ao criar um Microsoft AD gerenciado. domínio.

      • DOMAIN_COMPUTER_ACCOUNT é o nome que você quiser cluster a ser chamado no domínio.

      • CONSUMER_PROJECT_ID é o ID do projeto que contém a instância do Filestore.

      • CONNECT_MODE é DIRECT_PEERING ou PRIVATE_SERVICE_ACCESS. Se você estiver especificando uma VPC compartilhada como a rede, especifique também PRIVATE_SERVICE_ACCESS como o modo de conexão. Esta sinalização necessário para o peering de rede VPC, que é um requisito usando o Microsoft AD gerenciado.

      • RESERVED_IP_RANGE é o intervalo de endereços IP da instância do Filestore. Se você especificar connect-mode=PRIVATE_SERVICE_ACCESS, e querem usar um servidor de endereços IP, especifique o nome de um intervalo de endereços alocado em vez de um intervalo CIDR. Consulte Configure um endereço IP reservado. Recomendamos que você pule essa flag para permitir o Filestore para encontrar automaticamente um intervalo de endereços IP e atribuí-lo ao a instância.

    2. Se você não estiver usando o Microsoft AD gerenciado, execute o mesmo comando etapa anterior para criar uma instância do Filestore; omitindo as sinalizações --managed-ad e as sinalizações de peering de rede VPC, ou seja, connect-mode e reserved-ip-range. Use o seguinte como exemplo:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK" \
--project=CONSUMER_PROJECT_ID

Noções básicas sobre as listas de controle de acesso (ACLs) baseadas em rede no NFSv4.1.

No NFSv3, apenas a variação de segurança sys tem suporte. Esta configuração considera o usuário uid e gid fornecidos pelo cliente durante a montagem.

No protocolo NFSv4.1 do Filestore, várias variações de segurança de ACL de rede ou configurações estiverem disponíveis:

  • krb5

    Autentica o cliente usando um tíquete do Kerberos, que é validado com o servidor Kerberos do Microsoft AD gerenciado.

  • krb5i

    Inclui a autenticação fornecida pelo krb5 e também usa o Kerberos para executar verificações de integridade de mensagens em todo o tráfego de rede de e para a instância.

  • krb5p

    Inclui a autenticação fornecida pelo krb5 e as verificações de integridade da mensagem de krb5i e também usa o Kerberos para criptografia de dados em trânsito.

Para aproveitar essas opções, a integração do serviço gerenciado para o Microsoft Active Directory é obrigatório.

Se um domínio do serviço gerenciado para o Microsoft Active Directory não for especificado, apenas a variação de segurança sys é suportado.

Para mais informações, consulte as Limitações do NFSv4.1.

Como montar instâncias NFSv4.1 do Filestore em clientes Linux

As etapas a seguir mostram como montar instâncias em clientes Linux.

  • Ative com sec=sys para permissões NFS padrão:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Ative com sec=krb5 para autenticação baseada em Kerberos:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Ativar com sec=krb5i para autenticação baseada em Kerberos e integridade de mensagens verificações:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Ative com sec=krb5p para autenticação baseada em Kerberos e verificações de integridade. e criptografia em trânsito:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

    Substitua:

    • FILESTORE-INSTANCE-FQDN é o nome de domínio totalmente qualificado em que a instância do Filestore está localizada.
    • INSTANCE_SHARE_POINT é o nome do compartilhamento de arquivos do Filestore; que você quer conectar.
    • MOUNT_POINT é o nome do ponto de montagem ou do diretório em que você quer para montar.

Configuração do cliente Linux

Uma instância NFSv4.1 Filestore permite que os clientes executem operações NFS usando vários tipos de segurança. Essas variações são configuradas pela instância administrador usando ACLs de rede no Filestore NFSv4.1 durante a criação ou se forem atualizados após a criação.

A variação de segurança sys usa a autenticação Unix padrão, enquanto krb5, As variações krb5i e krb5p usam a autenticação baseada em Kerberos.

As variações krb5, krb5i e krb5p exigem que os clientes estejam conectados o mesmo domínio do Microsoft AD gerenciado que a instância do Filestore. Conclua as etapas a seguir de acordo com seu ambiente.

Imagem do Ubuntu

  1. Estabeleça a conexão SSH com a instância do Compute Engine.

  2. Execute os comandos a seguir para ingressar no domínio do Microsoft AD gerenciado.

    1. Execute este comando de configuração:

      sudo apt-get update \
sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry

    2. Quando o realm for solicitado, substitua a entrada atual pelo Domínio do Microsoft AD gerenciado usado no Filestore instância. Insira o valor em maiúsculas e pressione a seta para selecionar OK e pressione Enter.

    3. Quando os hosts forem solicitados, deixe o campo em branco e continue.

    4. Siga uma destas etapas:

      • Para VMs com um comprimento de nome do host menor ou igual a 15 execute o seguinte comando:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

        Substitua:

        • JOIN_DOMAIN_USER é o nome da conta de usuário. usado para fazer parte do domínio.
        • MANAGED_AD_DOMAIN_NAME é o nome de domínio do Serviço gerenciado do Microsoft AD que você quer usar.

      • Para VMs com um nome de host com mais de 15 caracteres, execute o seguinte comando:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

        Substitua:

        • JOIN_DOMAIN_USER é o nome da conta de usuário. usado para fazer parte do domínio.
        • MANAGED_AD_REALM_NAME é o nome do domínio do Serviço gerenciado do Microsoft AD que você quer usar.
        • MANAGED_AD_DOMAIN_NAME é o nome de domínio do Serviço gerenciado do Microsoft AD que você quer usar.

  3. Atualizar configuração do Kerberos. Atualize /etc/krb5.conf com o valor definição de realm e mapeamento de domínio de realm:

     [realms]
          DOMAIN_NAME = {
                   kdc = DOMAIN_NAME
                   default_domain = DOMAIN_NAME
          }
 [domain_realm]
          .domain_name_lowercase = DOMAIN_NAME
          domain_name_lowercase = DOMAIN_NAME

    Substitua:

    • DOMAIN_NAME é o nome de domínio que você quer usar, inserido em letras maiúsculas.
    • domain_name_lowercase é o nome de domínio que você quer usar; em letras minúsculas.

    Consulte os seguintes exemplos:

    [realms]
       FILE.DEMO.LOCAL = {
                kdc = FILE.DEMO.LOCAL
                default_domain = FILE.DEMO.LOCAL
       }

[domain_realm]
       .file.demo.local = FILE.DEMO.LOCAL
       file.demo.local = FILE.DEMO.LOCAL

  4. Execute o serviço rpc-gssd. Adicione o seguinte valor de atributo No-Strip à seção [General] em /etc/idmapd.conf:

     [General]
 No-Strip = both

  5. Execute este comando:

    sudo systemctl restart rpc-gssd

Imagem da Centos

  1. Ssh para a instância do Compute Engine.

  2. Participe do domínio do Microsoft AD gerenciado:

    sudo yum update \
sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients

  3. Siga uma destas etapas:

    • Para VMs com comprimento de nome do host menor ou igual a 15 caracteres, execute o seguinte comando:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

      Substitua:

      • JOIN_DOMAIN_USER é o nome da conta de usuário. usado para fazer parte do domínio.
      • MANAGED_AD_DOMAIN_NAME é o nome de domínio do Serviço gerenciado do Microsoft AD que você quer usar.

    • Para VMs com um nome de host maior que 15 caracteres, execute o seguinte comando:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

      Substitua:

      • JOIN_DOMAIN_USER é o nome da conta de usuário. usado para fazer parte do domínio.
      • MANAGED_AD_REALM_NAME é o nome do domínio do Serviço gerenciado do Microsoft AD que você quer usar.
      • MANAGED_AD_DOMAIN_NAME é o nome de domínio do Serviço gerenciado do Microsoft AD que você quer usar.

  4. Verifique se o serviço sssd está em execução:

    sudo systemctl status sssd

  5. Executar o serviço rpc-gssd. Adicione o seguinte abaixo do atributo No-Strip na seção [General] em /etc/idmapd.conf:

    [General]
No-Strip = both

  6. Execute o comando a seguir. Esse comando ajuda a garantir que o cliente NFS não remove o nome de domínio do nome do host do servidor NFS. Para mais informações, consulte Arquivos da lista Ganesha do NFS e Arch Linux Archive:

    sudo systemctl start rpc-gssd

Desconecte e reconecte-se ao Microsoft AD gerenciado de uma instância do Filestore.

Console do Google Cloud

Desconectar um Microsoft AD gerenciado de uma instância do Filestore

  1. Desconecte uma instância do Filestore conectada ao Microsoft AD gerenciado.

    No console do Google Cloud, acesse a página "Instâncias do Filestore".

    Acessar a página de instâncias do Filestore

  2. Clique no código da instância que você quer editar.

  3. No painel Ponto de montagem do NFS, em Protocolo, ao lado de Nome do serviço de diretório, clique em Desconecte o domínio do AD.

  4. Na janela Falha ao desconectar do domínio, leia o alerta e faça o seguinte: Clique em Editar instância.

    Pelo menos uma regra em Controle de acesso precisa ser mapeada para o papel de administrador com a configuração de segurança de montagem sys, por exemplo: Access=Admin Mount e sec=sys.

  5. No painel Editar compartilhamento, localize a regra em que O Acesso está definido como Administrador. Clique em Montar sec= ... e selecione sys para adicionar essa opção à configuração existente.

  6. Clique em OK.

  7. Clique em Salvar.

  8. Ao lado de Nome do serviço de diretório, clique em Desconecte o domínio do AD.

  9. No campo da janela Desconectar do domínio?, digite o nome do domínio que você quer desconectar.

  10. Clique em Desconectar.

Editar as regras de acesso

  1. Atualize a página. Observe que o Nome do serviço de diretório agora está definido como Nenhum.

  2. Clique em Editar.

  3. No painel Editar compartilhamento, localize qualquer regra que defina o acesso a um papel. que não seja Admin, como Editor. Na regra, clique em Monte sec= ... e selecione sys para adicioná-la ao do ambiente. Clique em OK.

  4. Clique em Salvar.

  5. Atualize a página.

    As configurações da regra serão atualizadas.

Reconectar um Microsoft AD gerenciado a uma instância do Filestore

  1. Reconectar uma instância do Filestore ao Microsoft AD gerenciado.

    No painel Ponto de montagem do NFS, em Protocolo, ao lado de Nome do serviço de diretório, clique em Participe do domínio do AD.

  2. Na janela Juntar esta instância a um domínio do Active Directory, selecione Usar domínios do projeto atual, no No menu Participar de um domínio do Active Directory, selecione o domínio que você quer usar.

  3. No menu Nome da conta do computador, digite um nome.

  4. Clique em Join Domain.

  5. Atualize a página. Observe que o Nome do serviço de diretório foi atualizado com sua seleção.

  6. Clique em Editar.

  7. No painel Editar compartilhamento, clique em Monte sec= ... em todas as regras aplicáveis e remova sys Clique em OK.

  8. Clique em Salvar.

  9. Atualize a página.

    As configurações da regra serão atualizadas.

A seguir