Configurer le protocole NFSv4.1

Le guide suivant vous explique comment implémenter le protocole NFSv4.1 avec un nouveau Instance Filestore.

À propos de NFSv4.1

Filestore est compatible avec le protocole NFSv4.1 pour les instances créées dans les niveaux de service suivants :

  • Zonal
  • Régional
  • Entreprise

Cette fonctionnalité peut être intégrée au service géré pour Microsoft Active Directory (service géré Microsoft AD) pour prendre en charge les charges de travail qui nécessitent une authentification client et serveur, des vérifications de l'intégrité des données de message et le chiffrement des données en transit, des fonctionnalités auparavant indisponibles dans Filestore.

  • L'authentification est compatible avec LDAP. et Kerberos et inclut le types de sécurité (paramètres) suivants :

    • Authentification client et serveur (krb5).
    • Contrôles de l'intégrité des messages (krb5i). Inclut les fonctionnalités du paramètre précédent.
    • Chiffrement des données en transit (krb5p). Inclut les fonctionnalités le paramètre précédent.

Le service Microsoft AD géré est la seule solution Google Cloud entièrement gérée est compatible avec LDAP, et Kerberos, les exigences le protocole NFSv4.1 et ses avantages en termes de sécurité et de confidentialité. Bien que l'intégration avec AD Managed Microsoft ne soit pas obligatoire, il est fortement recommandé de gérer les comptes utilisateur, les groupes et les autorisations fluctuants pour une expérience utilisateur Google Cloud optimale.

Devez-vous utiliser NFSv4.1 ?

De nombreuses entreprises s'appuient sur d'anciens systèmes pour leurs opérations stratégiques. opérations. De nombreux systèmes nécessitent une authentification et un chiffrement en transit pour leur stockage de fichiers réseau. NFSv3 n'a pas été conçu pour l'authentification. Intégration du protocole NFSv4.1 de Filestore à Le service Microsoft AD géré répond désormais à cette exigence utilisateur critique.

Objectifs

Dans ce guide, vous apprendrez à effectuer les tâches suivantes:

Créer une instance Filestore qui utilise NFSv4.1

Pour utiliser Microsoft AD géré avec une instance Filestore, le domaine Microsoft AD géré doit être créé avant l'instance Filestore.

Avant de commencer

  1. Le domaine Microsoft AD géré et l'instance Filestore doivent utiliser le même VPC dans le même projet.

    Si votre service Microsoft AD géré est hébergé dans un projet distinct de l'instance Filestore que vous voulez utiliser, puis l'instance Filestore Le réseau VPC doit être appairé au domaine Microsoft AD géré.

    Pour en savoir plus, consultez la section Déploiement de Microsoft AD géré avec un accès interprojet à l'aide du peering de domaine.

  2. Effectuez toutes les étapes de configuration pour créer une instance Filestore.

  3. Assurez-vous que les utilisateurs Microsoft AD gérés disposent de la spécification POSIX RFC 2307 et RFC 2307bis champs renseignés, comme illustré ci-dessous.

    Pour en savoir plus sur la configuration d'objets dans le service Microsoft AD géré, consultez la page Objets Active Directory gérés.

    Utilisateurs et ordinateurs Active Directory

    Les étapes suivantes décrivent les attributs que vous devez définir pour les utilisateurs et les groupes LDAP. Vous pouvez gérer les attributs POSIX à l'aide du composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory.

    Pour ouvrir l'éditeur d'attributs, procédez comme suit :

    1. Cliquez sur Démarrer.

    2. Cliquez sur Outils d'administration Windows, puis sélectionnez Utilisateurs et ordinateurs Active Directory.

      La fenêtre Utilisateurs et ordinateurs Active Directory s'ouvre.

    3. Sélectionnez le nom de domaine que vous souhaitez afficher. Pour développer son contenu, cliquez sur la flèche de développement .

    4. Dans le menu Affichage d'Utilisateurs et ordinateurs Active Directory, sélectionnez Fonctionnalités avancées.

    5. Dans le volet de gauche, double-cliquez sur Utilisateurs.

    6. Dans la liste des utilisateurs, double-cliquez sur un utilisateur pour afficher son onglet Éditeur d'attributs.

      Les attributs suivants doivent être définis pour les utilisateurs LDAP :

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Chaque utilisateur doit disposer d'un uidNumber unique. Notez que la valeur du paramètre L'attribut uid est sensible à la casse. Pour l'attribut objectClass : user est le paramètre par défaut sur la plupart des déploiements Active Directory (AD). En voici un exemple :

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Les attributs suivants doivent être définis pour les groupes LDAP:

      • cn
      • gidNumber
      • objectClass

      Chaque groupe doit posséder un gidNumber unique. Notez que la valeur de l'attribut cn est sensible à la casse. Pour l'attribut objectClass, group est le paramètre par défaut pour la plupart des déploiements AD. Voici un exemple :

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Accordez à Filestore l'accès pour créer et gérer des objets dans le service Microsoft AD géré à l'aide de la commande gcloud projects add-iam-policy-binding :

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Remplacez les éléments suivants :

    • MANAGED_MICROSOFT_AD_PROJECT_ID est l'ID du projet dans lequel se trouve le domaine Microsoft AD géré.
    • PROJECT_ID est l'ID du projet dans lequel l'instance Filestore.

    Un message d'erreur semblable à celui-ci peut s'afficher :

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.

    Si tel est le cas, utilisez la commande suivante pour le résoudre:

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Créer une instance Filestore avec ou sans service Microsoft AD géré

Dans cette section, vous allez créer une instance Filestore configurée pour être utilisée avec le protocole NFSv4.1. Des étapes facultatives sont incluses pour les utilisateurs qui choisissent de ne pas utiliser AD Microsoft géré.

  • Assurez-vous de disposer d'un quota suffisant.

    Les quotas d'instances varient selon la région et le niveau de service que vous souhaitez utiliser. Pour augmenter le quota disponible, vous devez envoyer une demande d'augmentation de quota.

console Google Cloud

Configurer les paramètres de l'instance

  1. Dans la console Google Cloud, accédez aux instances Filestore .

    Accéder à la page des instances Filestore

  2. Cliquez sur Create Instance (Créer une instance).

  3. Spécifiez les paramètres de base de l'instance, y compris son nom, son nom le type et la capacité:

    1. Dans le champ ID d'instance, saisissez le nom que vous souhaitez utiliser pour l'instance Filestore.

    2. Dans Type d'instance, sélectionnez Régional ou Zonal.

      Pour créer une instance d'entreprise, vous devez exécuter des opérations directement via l'API Filestore.

    3. Dans Capacité allouée, saisissez la capacité que vous souhaitez utiliser. Vous devez saisir une valeur comprise entre 1 To et 10 To, par incréments de 256 Gio (0,25 Tio).

    4. Dans Région, sélectionnez la région que vous souhaitez utiliser.

    5. Dans Réseau VPC, sélectionnez le réseau que vous souhaitez utiliser pour le une instance Filestore et des clients NFS.

      • Si Microsoft AD géré se trouve dans le même projet que l'instance Filestore, le réseau VPC doit être autorisé dans le domaine Microsoft AD géré.
      • Si Microsoft AD géré se trouve dans un projet distinct, le réseau VPC doit être configuré avec l'appairage réseau Active Directory dans la configuration Microsoft AD géré.

    6. Dans Plage d'adresses IP allouée, sélectionnez Utilisez une plage d'adresses IP automatiquement allouée (recommandé).

    7. Dans Protocole, sélectionnez NFSv4.1.

Configurer les paramètres d'authentification de l'instance

  1. Configurez les paramètres d'authentification de l'instance.
    1. Cliquez sur Authentification.
    2. Sélectionnez le projet hébergeant Microsoft AD géré. Pour les besoins de ce guide, nous supposerons que le projet actuel est celui que nous souhaitons utiliser.
    3. Dans la liste Rejoindre un domaine Active Directory, sélectionnez Domaine Microsoft AD géré que vous souhaitez utiliser.
    4. Dans le champ Nom du compte d'ordinateur, saisissez le nom du compte d'ordinateur. que vous souhaitez utiliser pour identifier l'instance Filestore Domaine Microsoft AD géré. Le nom est limité à 15 caractères alphanumériques.
    5. Dans le champ Nom du partage de fichiers, saisissez le nom du partage tel qu'il sera utilisé par les clients NFSv4.1.

  2. Dans le volet Contrôle des accès, procédez comme suit :

    • Si vous utilisez Microsoft AD géré, sélectionnez Limiter l'accès par adresse IP ou plage d'adresses.

      1. Définissez la règle d'accès en fonction de l'adresse IP ou du sous-réseau que vous souhaitez définir. Pour les besoins de ce guide, utilisez les paramètres suivants :
      2. Dans le champ Adresse IP ou plage d'adresses IP 1, saisissez l'adresse IP ou la plage d'adresses IP que vous souhaitez utiliser.
      3. Cliquez sur la liste déroulante Accès 1, puis sélectionnez Administrateur.
      4. Cliquez sur la liste déroulante Mountsec= 1, puis sélectionnez le sys.

      Le propriétaire / par défaut de Filestore est root. Pour autoriser d'autres utilisateurs et groupes à accéder à l'instance, vous devez créer une règle d'accès qui autorise l'accès aux VM de gestion à l'aide du rôle Admin et du paramètre de sécurité sec=sys.

    • Si vous n'utilisez pas le service Microsoft AD géré, sélectionnez Accordez l'accès à tous les clients sur le réseau VPC.

      Si le service Microsoft AD géré n'est pas utilisé, le seul paramètre de sécurité compatible est sec=sys.

  3. Cliquez sur Créer pour créer l'instance.

gcloud

  1. Installez et initialisez gcloud CLI.

    Si la gcloud CLI est déjà installée, exécutez la commande suivante : pour le mettre à jour:

    gcloud components update

  2. Effectuez l'une des opérations suivantes :

    1. Si vous utilisez Microsoft AD géré, exécutez la commande gcloud beta filestore instances create suivante pour créer une instance Filestore zonale, régionale ou d'entreprise :

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
--managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
--project=CONSUMER_PROJECT_ID

      Remplacez les éléments suivants :

      • INSTANCE_ID est l'ID d'instance de Filestore. que vous souhaitez créer. Consultez la section Nommer votre instance.
      • DESCRIPTION est une description de l'instance que vous souhaitez utiliser.
      • LOCATION est l'emplacement où vous souhaitez que l'instance Filestore réside.
      • TIER est le niveau de service. que vous souhaitez utiliser.
      • PROTOCOL est NFS_v4_1.
      • FILE_SHARE_NAME est le nom que vous spécifiez pour le NFS un partage de fichiers qui est diffusé depuis l'instance.
      • CAPACITY correspond à la taille souhaitée pour le partage de fichiers, comprise entre 1 Tio et 10 Tio.

      • VPC_NETWORK est le nom du réseau VPC que l'instance devra utiliser. Voir Sélectionnez le réseau VPC. Si vous souhaitez spécifier un VPC partagé à partir d'un service vous devez spécifier le nom complet du réseau, est au format projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME et vous devez spécifier connect-mode=PRIVATE_SERVICE_ACCESS, comme comme suit:

        --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

        Il est impossible de spécifier un ancien réseau pour la valeur vpc_network. Si nécessaire, créez un un nouveau réseau VPC à utiliser en suivant les instructions fournies dans Créez un réseau VPC en mode automatique.

      • MANAGED_AD_PROJECT_ID correspond à l'ID du projet dans lequel se trouve le service Microsoft AD géré.

      • MANAGED_AD_DOMAIN_NAME correspond au nom de domaine du service Microsoft AD géré que vous souhaitez utiliser. Il s'agit du nom de domaine que vous choisissez lorsque vous créez un domaine Microsoft AD géré.

      • DOMAIN_COMPUTER_ACCOUNT correspond au nom que vous souhaitez à appeler dans le domaine.

      • CONSUMER_PROJECT_ID est l'ID du projet contenant l'instance Filestore.

      • CONNECT_MODE est DIRECT_PEERING ou PRIVATE_SERVICE_ACCESS. Si vous spécifiez un VPC partagé comme réseau, vous devez spécifiez également PRIVATE_SERVICE_ACCESS comme mode de connexion. Cet indicateur est requis pour l'appairage de réseaux VPC, qui est requis avec le service Microsoft AD géré.

      • RESERVED_IP_RANGE est la plage d'adresses IP de l'instance Cloud Filestore. Si vous spécifiez connect-mode=PRIVATE_SERVICE_ACCESS et que vous souhaitez utiliser une plage d'adresses IP réservée, vous devez spécifier le nom d'une plage d'adresses allouée au lieu d'une plage CIDR. Voir Configurez une adresse IP réservée. Nous vous recommandons d'ignorer cette option pour permettre à Filestore d'identifier automatiquement une plage d'adresses IP libre et de l'attribuer à l'instance.

    2. Si vous n'utilisez pas le service Microsoft AD géré, exécutez la même commande que à l'étape précédente pour créer une instance Filestore, en omettant l'option --managed-ad et les options d'appairage de réseaux VPC, à savoir connect-mode et reserved-ip-range. Utilisez la commande suivante comme exemple :

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK" \
--project=CONSUMER_PROJECT_ID

Comprendre les listes de contrôle d'accès (LCA) basées sur le réseau dans NFSv4.1

Dans NFSv3, seul le type de sécurité sys est pris en charge. Ce paramètre fait confiance aux uid et gid utilisateur fournis par le client lors du montage.

Dans le protocole Filestore NFSv4.1, plusieurs types de sécurité des LCA réseau ou paramètres sont disponibles:

  • krb5

    Authentifie le client à l'aide d'un ticket Kerberos, qui est validé au serveur Microsoft AD géré Kerberos.

  • krb5i

    Inclut l'authentification fournie par krb5 et utilise également Kerberos pour exécuter des vérifications de l'intégrité des messages sur tout le trafic réseau à destination et en provenance de l'instance.

  • krb5p

    Inclut l'authentification fournie par krb5 et les vérifications de l'intégrité des messages de krb5i, et utilise également Kerberos pour le chiffrement des données en transit.

Pour profiter de ces options, vous devez intégrer le service géré pour Microsoft Active Directory.

Si aucun domaine de service géré pour Microsoft Active Directory n'est spécifié, seul le type de sécurité sys est défini. est pris en charge.

Pour en savoir plus, consultez la section Limites de NFSv4.1.

Installer des instances Filestore NFSv4.1 sur des clients Linux

Les étapes suivantes vous montrent comment monter des instances sur des clients Linux.

  • Installer avec sec=sys pour les autorisations NFS standards:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Installer avec sec=krb5 pour l'authentification basée sur Kerberos:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Montage avec sec=krb5i pour l'authentification et les vérifications de l'intégrité des messages basées sur Kerberos :

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Montez avec sec=krb5p pour l'authentification basée sur Kerberos, les vérifications d'intégrité et le chiffrement en transit :

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

    Remplacez les éléments suivants :

    • FILESTORE-INSTANCE-FQDN est le nom de domaine complet où où se trouve l'instance Filestore.
    • INSTANCE_SHARE_POINT est le nom du partage de fichiers de Filestore. à laquelle vous souhaitez vous connecter.
    • MOUNT_POINT est le point d'installation ou le nom du répertoire dans lequel vous souhaitez à installer.

Configuration du client Linux

Une instance Filestore NFSv4.1 permet aux clients d'effectuer des opérations NFS en utilisant différents dispositifs de sécurité. Ces variantes sont configurées par l'administrateur de l'instance via des LCA réseau sur l'instance Filestore NFSv4.1, lors de la création ou si elles sont mises à jour après la création.

La variante de sécurité sys utilise l'authentification Unix standard, tandis que les variantes krb5, krb5i et krb5p utilisent l'authentification basée sur Kerberos.

Les types krb5, krb5i et krb5p nécessitent que les clients soient connectés à le même domaine Microsoft AD géré que l'instance Filestore. Suivez les étapes suivantes en fonction de votre environnement.

Image Ubuntu

  1. Connectez-vous en SSH à l'instance Compute Engine.

  2. Exécutez les commandes suivantes pour joindre le domaine Microsoft AD géré.

    1. Exécutez la commande de configuration suivante :

      sudo apt-get update \
sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry

    2. Lorsque vous êtes invité à indiquer un domaine, remplacez l'entrée existante par le Domaine Microsoft AD géré utilisé sur Filestore Compute Engine. Saisissez la valeur en majuscules, puis appuyez sur la touche de flèche pour sélectionner OK, puis sur Entrée.

    3. Lorsque vous êtes invité à saisir des hôtes, laissez ce champ vide et continuez.

    4. Effectuez l'une des opérations suivantes :

      • Pour les VM dont le nom d'hôte est inférieur ou égal à 15 caractères, exécutez la commande suivante :

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

        Remplacez les éléments suivants :

        • JOIN_DOMAIN_USER correspond au nom du compte utilisateur utilisé pour rejoindre le domaine.
        • MANAGED_AD_DOMAIN_NAME est le nom de domaine du Service Microsoft AD géré que vous souhaitez utiliser.

      • Pour les VM dont la longueur de nom d'hôte est supérieure à 15 caractères, exécutez la commande suivante:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

        Remplacez les éléments suivants :

        • JOIN_DOMAIN_USER correspond au nom du compte utilisateur utilisé pour rejoindre le domaine.
        • MANAGED_AD_REALM_NAME est le nom de domaine du Service Microsoft AD géré que vous souhaitez utiliser.
        • MANAGED_AD_DOMAIN_NAME correspond au nom de domaine du service Microsoft AD géré que vous souhaitez utiliser.

  3. Mettez à jour la configuration Kerberos. Mettez à jour /etc/krb5.conf avec les Définition de domaine et mappage domaine-domaine:

     [realms]
          DOMAIN_NAME = {
                   kdc = DOMAIN_NAME
                   default_domain = DOMAIN_NAME
          }
 [domain_realm]
          .domain_name_lowercase = DOMAIN_NAME
          domain_name_lowercase = DOMAIN_NAME

    Remplacez les éléments suivants :

    • DOMAIN_NAME est le nom de domaine que vous voulez utiliser, saisi en majuscules.
    • domain_name_lowercase correspond au nom de domaine que vous souhaitez utiliser, saisi en minuscules.

    Voici un exemple:

    [realms]
       FILE.DEMO.LOCAL = {
                kdc = FILE.DEMO.LOCAL
                default_domain = FILE.DEMO.LOCAL
       }

[domain_realm]
       .file.demo.local = FILE.DEMO.LOCAL
       file.demo.local = FILE.DEMO.LOCAL

  4. Exécutez le service rpc-gssd. Ajoutez la valeur d'attribut No-Strip suivante à la section [General] dans /etc/idmapd.conf :

     [General]
 No-Strip = both

  5. Exécutez la commande suivante :

    sudo systemctl restart rpc-gssd

Image Centos

  1. Connectez-vous en SSH à l'instance Compute Engine.

  2. Rejoignez le domaine Microsoft AD géré:

    sudo yum update \
sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients

  3. Effectuez l'une des opérations suivantes:

    • Pour les VM dont la longueur de nom d'hôte est inférieure ou égale à 15 caractères, exécutez la commande suivante:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

      Remplacez les éléments suivants :

      • JOIN_DOMAIN_USER correspond au nom du compte utilisateur utilisé pour rejoindre le domaine.
      • MANAGED_AD_DOMAIN_NAME correspond au nom de domaine du service Microsoft AD géré que vous souhaitez utiliser.

    • Pour les VM dont le nom d'hôte comporte plus de 15 caractères, exécutez la commande la commande suivante:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

      Remplacez les éléments suivants :

      • JOIN_DOMAIN_USER est le nom du compte utilisateur. utilisée pour joindre le domaine.
      • MANAGED_AD_REALM_NAME correspond au nom de domaine du service Microsoft AD géré que vous souhaitez utiliser.
      • MANAGED_AD_DOMAIN_NAME est le nom de domaine du Service Microsoft AD géré que vous souhaitez utiliser.

  4. Assurez-vous que le service sssd est en cours d'exécution :

    sudo systemctl status sssd

  5. Exécutez le service rpc-gssd. Ajoutez le code suivant sous la valeur de l'attribut No-Strip à la section [General] dans /etc/idmapd.conf :

    [General]
No-Strip = both

  6. Exécutez la commande suivante : Cette commande permet de s’assurer que le client NFS ne supprimer le nom de domaine du nom d'hôte du serveur NFS. Pour en savoir plus, consultez les archives de la liste NFS Ganesha et l'archive Arch Linux :

    sudo systemctl start rpc-gssd

Se déconnecter d'une instance Filestore et se reconnecter au service Microsoft AD géré

console Google Cloud

Déconnecter un service Microsoft AD géré d'une instance Filestore

  1. Déconnectez une instance Filestore connectée au service Microsoft AD géré.

    Dans la console Google Cloud, accédez à la page "Instances Filestore".

    Accéder à la page des instances Filestore

  2. Cliquez sur l'ID de l'instance à modifier.

  3. Dans le volet Point d'installation NFS, sous Protocole, à côté de Nom du service d'annuaire, cliquez sur Déconnecter le domaine AD.

  4. Dans la fenêtre Disconnect from domain failed (Échec de la dissociation du domaine), lisez l'alerte, puis cliquez sur Edit instance (Modifier l'instance).

    Au moins une règle dans Contrôle des accès doit être mappée au rôle Administrateur avec le paramètre de sécurité de montage sys, par exemple Access=Admin Mount (Accès = Montage administrateur) et sec=sys.

  5. Dans le volet Modifier le partage, recherchez la règle pour laquelle Accès est défini sur Administrateur. Cliquez sur Installer sec= ..., puis sélectionnez sys pour ajouter cette option au paramètre existant.

  6. Cliquez sur OK.

  7. Cliquez sur Enregistrer.

  8. À côté de Nom du service d'annuaire, cliquez sur Déconnecter le domaine AD.

  9. Dans le champ de la fenêtre Se déconnecter du domaine ?, saisissez le nom. du domaine dont vous souhaitez vous déconnecter.

  10. Cliquez sur Déconnecter.

Modifier les règles d'accès

  1. Actualisez la page. Notez que Nom du service d'annuaire est désormais défini sur Aucun.

  2. Cliquez sur Modifier.

  3. Dans le volet Modifier le partage, recherchez toute règle qui définit l'accès pour un rôle autre que Admin, comme Rédacteur. Dans la règle, cliquez sur Monter sec=, puis sélectionnez sys pour l'ajouter au paramètre existant. Cliquez sur OK.

  4. Cliquez sur Enregistrer.

  5. Actualisez la page.

    Les paramètres de la règle sont mis à jour.

Reconnecter un service Microsoft AD géré à une instance Filestore

  1. Reconnectez une instance Filestore au service Microsoft AD géré.

    Dans le volet Point d'installation NFS, sous Protocole, à côté de Nom du service d'annuaire, cliquez sur Rejoindre un domaine AD

  2. Dans la fenêtre Associer cette instance à un domaine Active Directory, procédez comme suit : sélectionnez Utiliser les domaines du projet actuel Dans le menu Rejoindre un domaine Active Directory, sélectionnez le domaine que vous souhaitez utiliser.

  3. Dans le menu Nom du compte de l'ordinateur, saisissez un nom.

  4. Cliquez sur Rejoindre le domaine.

  5. Actualisez la page. Notez que le nom du service d'annuaire a été mis à jour. avec votre sélection.

  6. Cliquez sur Modifier.

  7. Dans le volet Modifier le partage, cliquez sur Mount sec= ... (Monter sec=…) dans toutes les règles applicables, puis supprimez la sélection sys. Cliquez sur OK.

  8. Cliquez sur Enregistrer.

  9. Actualisez la page.

    Les paramètres de la règle sont mis à jour.

Étape suivante