Configurer le protocole NFSv4.1

Le guide suivant vous explique comment implémenter le protocole NFSv4.1 avec un nouveau Instance Filestore.

À propos de NFSv4.1

Filestore est compatible avec le protocole NFSv4.1 (version preview) pour les instances créées dans les niveaux de service suivants:

  • Zonal
  • Régional
  • Entreprise

Cette fonctionnalité peut être intégrée Service géré pour Microsoft Active Directory (service Microsoft AD géré) pour prendre en charge des charges de travail nécessitant une authentification client et serveur, des contrôles d'intégrité et du chiffrement des données en transit, indisponible dans Filestore.

  • L'authentification est compatible avec LDAP. et Kerberos et inclut le types de sécurité (paramètres) suivants :

    • Authentification client et serveur (krb5).
    • Contrôles d'intégrité des messages (krb5i). Inclut les fonctionnalités le paramètre précédent.
    • Chiffrement des données en transit (krb5p). Inclut les fonctionnalités le paramètre précédent.

Le service Microsoft AD géré est la seule solution Google Cloud entièrement gérée est compatible avec LDAP, et Kerberos, les exigences le protocole NFSv4.1 et ses avantages en termes de sécurité et de confidentialité. Pendant l'intégration avec le service Microsoft AD géré n'est pas obligatoire, il est fortement recommandé une expérience utilisateur optimale dans Google Cloud pour gérer les comptes utilisateur et fluctuer les groupes et les autorisations.

Devez-vous utiliser NFSv4.1 ?

De nombreuses entreprises s'appuient sur d'anciens systèmes pour leurs opérations stratégiques. opérations. Beaucoup de ces systèmes nécessitent une authentification pour le stockage de fichiers en réseau. NFSv3 n'a pas été conçu avec de l'authentification. Intégration du protocole NFSv4.1 de Filestore à Le service Microsoft AD géré répond désormais à cette exigence utilisateur critique.

Objectifs

Dans ce guide, vous apprendrez à effectuer les tâches suivantes:

Créer une instance Filestore qui utilise NFSv4.1

Pour utiliser le service Microsoft AD géré avec une instance Filestore, Le domaine Microsoft AD géré doit être créé avant Filestore Compute Engine.

Avant de commencer

  1. Le domaine Microsoft AD géré et Filestore doivent utiliser le même VPC sur le même projet.

    Si votre service Microsoft AD géré est hébergé dans un projet distinct de l'instance Filestore que vous voulez utiliser, puis l'instance Filestore Le réseau VPC doit être appairé au domaine Microsoft AD géré.

    Pour en savoir plus, consultez Déployez le service Microsoft AD géré avec un accès inter-projets à l'aide de l'appairage de domaines.

  2. Effectuez toutes les étapes de configuration pour créer une instance Filestore.

  3. Assurez-vous que les utilisateurs Microsoft AD gérés disposent de la spécification POSIX RFC 2307 et RFC 2307bis champs renseignés, comme illustré ci-dessous.

    Pour en savoir plus sur la configuration d'objets dans le service Microsoft AD géré, consultez la page Objets Active Directory gérés.

    Utilisateurs et ordinateurs Active Directory

    Les étapes suivantes décrivent les attributs que vous devez définir pour LDAP des utilisateurs et des groupes. Vous pouvez gérer les attributs POSIX à l'aide du bouton Connecteur MMC "Utilisateurs et ordinateurs de l'annuaire".

    Pour ouvrir l'éditeur d'attributs, procédez comme suit:

    1. Cliquez sur Démarrer.

    2. Cliquez sur Outils d'administration Windows, puis sélectionnez Utilisateurs et ordinateurs Active Directory.

      La fenêtre Utilisateurs et ordinateurs Active Directory s'ouvre.

    3. Sélectionnez le nom de domaine que vous souhaitez afficher. Pour développer son contenu, cliquez sur la flèche de développement .

    4. Dans le menu Vue "Utilisateurs et ordinateurs Active Directory", sélectionnez Fonctionnalités avancées.

    5. Dans le volet de gauche, double-cliquez sur Utilisateurs.

    6. Dans la liste des utilisateurs, double-cliquez sur un utilisateur pour afficher son éditeur d'attributs. .

      Les attributs suivants doivent être définis pour les utilisateurs LDAP:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Chaque utilisateur doit posséder un uidNumber unique. Notez que la valeur du paramètre L'attribut uid est sensible à la casse. Pour l'attribut objectClass : user est le paramètre par défaut sur la plupart des déploiements Active Directory (AD). En voici un exemple :

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Les attributs suivants doivent être définis pour les groupes LDAP:

      • cn
      • gidNumber
      • objectClass

      Chaque groupe doit posséder un gidNumber unique. Notez que la valeur du paramètre L'attribut cn est sensible à la casse. Pour l'attribut objectClass : group est le paramètre par défaut sur la plupart des déploiements AD. Ce qui suit est Exemple:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Accordez à Filestore l'accès pour créer et gérer des objets dans Gestion de Microsoft AD à l'aide de gcloud projects add-iam-policy-binding commande:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(PROJECT_ID)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Remplacez les éléments suivants :

    • MANAGED_MICROSOFT_AD_PROJECT_ID est l'ID de projet du projet dans lequel se trouve le domaine Microsoft AD géré.
    • PROJECT_ID est l'ID du projet dans lequel l'instance Filestore.

    L'erreur suivante peut s'afficher :

    INVALID_ARGUMENT: Service account service-PROJECT_ID@cloud-filer.iam.gserviceaccount.com does not exist.

    Si tel est le cas, utilisez la commande suivante pour le résoudre:

    gcloud beta services identity create --service=file.googleapis.com -project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Créer une instance Filestore avec ou sans service Microsoft AD géré

Dans cette section, vous allez créer une instance Filestore avec le protocole NFSv4.1. Des étapes facultatives sont incluses pour les utilisateurs qui choisissent de ne pas utilisent le service Microsoft AD géré.

  • Assurez-vous de disposer d'un quota suffisant.

    Plages de quota d'instances en fonction de l'emplacement régional et du niveau de service que vous souhaitez utiliser. Pour augmenter le quota disponible, vous devez envoyer une demande d'augmentation de quota.

console Google Cloud

Configurer les paramètres de l'instance

  1. Dans la console Google Cloud, accédez aux instances Filestore .

    Accéder à la page des instances Filestore

  2. Cliquez sur Create Instance (Créer une instance).

  3. Spécifiez les paramètres de base de l'instance, y compris son nom, son nom le type et la capacité:

    1. Dans le champ ID d'instance, saisissez le nom que vous souhaitez utiliser pour le Instance Filestore.

    2. Dans Type d'instance, sélectionnez Régional ou Zonal.

      Pour créer une instance d'entreprise, vous devez exécuter des opérations directement via l'API Filestore.

    3. Dans Capacité allouée, saisissez la capacité que vous souhaitez utiliser. Vous devez saisissez une valeur comprise entre 1 To et 10 To, par incréments de 256 Gio (0,25 Tio).

    4. Dans Région, sélectionnez la région que vous souhaitez utiliser.

    5. Dans Réseau VPC, sélectionnez le réseau que vous souhaitez utiliser pour le une instance Filestore et des clients NFS.

      • Si le service Microsoft AD géré se trouve dans le même projet que Filestore le réseau VPC doit être autorisé Domaine Microsoft AD géré
      • Si le service Microsoft AD géré se trouve dans un projet distinct, le VPC réseau doit être configuré avec l'appairage de réseaux Active Directory sur la configuration Microsoft AD gérée.

    6. Dans Plage d'adresses IP allouée, sélectionnez Utilisez une plage d'adresses IP automatiquement allouée (recommandé).

    7. Dans Protocole, sélectionnez NFSv4.1.

Configurer les paramètres d'authentification de l'instance

  1. Configurez les paramètres d'authentification de l'instance.
    1. Cliquez sur Authentification.
    2. Sélectionnez le projet hébergeant le service Microsoft AD géré. Dans le cadre de ce guide, nous supposerons que le projet actuel est celui sur lequel nous voulons utiliser.
    3. Dans la liste Rejoindre un domaine Active Directory, sélectionnez Domaine Microsoft AD géré que vous souhaitez utiliser.
    4. Dans le champ Nom du compte d'ordinateur, saisissez le nom du compte d'ordinateur. que vous souhaitez utiliser pour identifier l'instance Filestore Domaine Microsoft AD géré Le nom est limité à 15 caractères alphanumériques.
    5. Dans le champ Nom du partage de fichiers, saisissez le nom du partage seront utilisés par les clients NFSv4.1.

  2. Dans le volet Contrôle des accès, effectuez l'une des opérations suivantes:

    • Si vous utilisez le service Microsoft AD géré, sélectionnez Limitez l'accès par adresse IP ou plage d'adresses IP.

      1. Définissez la règle d'accès par adresse IP ou sous-réseau. Pour le de ce guide, utilisez les paramètres suivants:
      2. Dans le champ Adresse IP ou plage 1, saisissez l'adresse IP. ou la plage que vous souhaitez utiliser.
      3. Cliquez sur la liste déroulante Accès 1, puis sélectionnez Admin.
      4. Cliquez sur la liste déroulante Montsec= 1, puis sélectionnez le sys.

      Le propriétaire par défaut de / pour Filestore est root. À activer l'accès à l'instance pour d'autres utilisateurs et groupes ; vous devez créer une règle d'accès qui active la VM de gestion l'accès à l'aide du rôle Admin et de la sécurité sec=sys .

    • Si vous n'utilisez pas le service Microsoft AD géré, sélectionnez Accordez l'accès à tous les clients sur le réseau VPC.

      Si le service Microsoft AD géré n'est pas utilisé, le seul service compatible le paramètre de sécurité est sec=sys.

  3. Cliquez sur Créer pour créer l'instance.

gcloud

  1. Installez et initialisez gcloud CLI.

    Si la gcloud CLI est déjà installée, exécutez la commande suivante : pour la mettre à jour:

    gcloud components update

  2. Effectuez l'une des opérations suivantes:

    1. Si vous utilisez le service Microsoft AD géré, exécutez la commande suivante : gcloud beta filestore instances create pour créer une instance Filestore zonale, régionale ou d'entreprise:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
--managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
--project=CONSUMER_PROJECT_ID

      Remplacez les éléments suivants :

      • INSTANCE_ID est l'ID d'instance de Filestore. que vous souhaitez créer. Voir Attribuez un nom à l'instance.
      • DESCRIPTION est la description de l'instance souhaitée. utiliser.
      • LOCATION est l'emplacement où vous souhaitez afficher de l'instance Filestore.
      • TIER est le niveau de service. que vous souhaitez utiliser.
      • PROTOCOL est NFS_v4_1.
      • FILE_SHARE_NAME est le nom que vous spécifiez pour le NFS un partage de fichiers qui est diffusé depuis l'instance.
      • CAPACITY est la taille souhaitée pour le partage de fichiers, entre 1 Tio et 10 Tio.

      • VPC_NETWORK est le nom du VPC. que l'instance doit utiliser. Voir Sélectionnez le réseau VPC. Si vous souhaitez spécifier un VPC partagé à partir d'un service vous devez spécifier le nom complet du réseau, est au format projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME et vous devez spécifier connect-mode=PRIVATE_SERVICE_ACCESS, comme comme suit:

        --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

        Vous ne pouvez pas spécifier un ancien réseau. pour la valeur vpc_network. Si nécessaire, créez un un nouveau réseau VPC en suivant les instructions fournies dans Créez un réseau VPC en mode automatique.

      • MANAGED_AD_PROJECT_ID est l'ID du projet dans lequel Le service Microsoft AD géré se trouve.

      • MANAGED_AD_DOMAIN_NAME est le nom de domaine du Service Microsoft AD géré que vous souhaitez utiliser. Il s'agit du domaine que vous choisissez lors de la création d'un compte domaine.

      • DOMAIN_COMPUTER_ACCOUNT correspond au nom que vous souhaitez à appeler dans le domaine.

      • CONSUMER_PROJECT_ID est l'ID du projet que contenant l'instance Filestore.

      • CONNECT_MODE est DIRECT_PEERING ou PRIVATE_SERVICE_ACCESS. Si vous spécifiez un VPC partagé comme réseau, vous devez spécifiez également PRIVATE_SERVICE_ACCESS comme mode de connexion. Cet indicateur est requis pour l'appairage de réseaux VPC, qui est requis avec le service Microsoft AD géré.

      • RESERVED_IP_RANGE est la plage d'adresses IP de l'instance Cloud Filestore. Si vous spécifiez connect-mode=PRIVATE_SERVICE_ACCESS et que vous voulez utiliser un d'adresses IP, vous devez spécifier le nom plage d'adresses allouée au lieu d'une plage CIDR. Voir Configurez une adresse IP réservée. Nous vous recommandons d'ignorer cette option pour autoriser Filestore de trouver automatiquement une plage d'adresses IP libre et de l'attribuer à l'instance.

    2. Si vous n'utilisez pas le service Microsoft AD géré, exécutez la même commande que à l'étape précédente pour créer une instance Filestore, en omettant l'option --managed-ad et les options d'appairage de réseaux VPC, à savoir connect-mode et reserved-ip-range. Utilisez les éléments suivants : à titre d'exemple:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK" \
--project=CONSUMER_PROJECT_ID

Découvrez les listes de contrôle des accès (LCA) basées sur le réseau dans NFSv4.1.

Dans NFSv3, seul le type de sécurité sys est pris en charge. Ce paramètre fait confiance les utilisateurs uid et gid fournis par le client lors de l'installation.

Dans le protocole Filestore NFSv4.1, plusieurs types de sécurité des LCA réseau ou paramètres sont disponibles:

  • krb5

    Il authentifie le client à l'aide d'un ticket Kerberos, qui est validé. au serveur Microsoft AD géré Kerberos.

  • krb5i

    Inclut l'authentification fournie par krb5 et utilise Kerberos pour exécuter des vérifications de l'intégrité des messages sur tout le trafic réseau vers et depuis l'instance.

  • krb5p

    Inclut l'authentification fournie par krb5 et les contrôles d'intégrité des messages de krb5i et utilise Kerberos pour le chiffrement des données en transit.

Si vous souhaitez profiter de ces options, l'intégration du service géré pour Microsoft Active Directory est obligatoire.

Si aucun domaine de service géré pour Microsoft Active Directory n'est spécifié, seul le type de sécurité sys est défini. est pris en charge.

Pour en savoir plus, consultez la section Limites de la version 4.1 de NFS.

Installer des instances Filestore NFSv4.1 sur des clients Linux

Les étapes suivantes vous expliquent comment installer des instances sur des clients Linux.

  • Installer avec sec=sys pour les autorisations NFS standards:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Installer avec sec=krb5 pour l'authentification basée sur Kerberos:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Installer avec sec=krb5i pour l'authentification basée sur Kerberos et l'intégrité des messages vérifications:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Installez avec sec=krb5p pour l'authentification basée sur Kerberos, les vérifications d'intégrité, et le chiffrement en transit:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

    Remplacez les éléments suivants :

    • FILESTORE-INSTANCE-FQDN est le nom de domaine complet où où se trouve l'instance Filestore.
    • INSTANCE_SHARE_POINT est le nom du partage de fichiers de Filestore. à laquelle vous souhaitez vous connecter.
    • MOUNT_POINT est le point d'installation ou le nom du répertoire dans lequel vous souhaitez à installer.

Configuration du client Linux

Une instance Filestore NFSv4.1 permet aux clients d'effectuer des opérations NFS en utilisant différents dispositifs de sécurité. Ces types sont configurés par l'instance administrateur via les listes de contrôle d'accès réseau sur le serveur Filestore NFSv4.1 pendant la création ou en cas de mise à jour après la création.

Le type de sécurité sys utilise l'authentification Unix standard, tandis que krb5, Les types krb5i et krb5p utilisent l'authentification basée sur Kerberos.

Les types krb5, krb5i et krb5p nécessitent que les clients soient connectés à le même domaine Microsoft AD géré que l'instance Filestore. Suivez la procédure ci-dessous adaptée à votre environnement.

Image Ubuntu

  1. Connectez-vous en SSH à l'instance Compute Engine.

  2. Exécutez les commandes suivantes pour joindre le domaine Microsoft AD géré.

    1. Exécutez la commande d'installation suivante:

      sudo apt-get update \
sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry

    2. Lorsque vous êtes invité à indiquer un domaine, remplacez l'entrée existante par le Domaine Microsoft AD géré utilisé sur Filestore Compute Engine. Saisissez la valeur en majuscules, puis appuyez sur la flèche pour sélectionner OK, puis appuyez sur Entrée.

    3. Lorsque vous êtes invité à indiquer des hôtes, laissez ce champ vide et continuez.

    4. Effectuez l'une des opérations suivantes:

      • Pour les VM dont la longueur de nom d'hôte est inférieure ou égale à 15 exécutez la commande suivante:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

        Remplacez les éléments suivants :

        • JOIN_DOMAIN_USER est le nom du compte utilisateur. utilisée pour joindre le domaine.
        • MANAGED_AD_DOMAIN_NAME est le nom de domaine du Service Microsoft AD géré que vous souhaitez utiliser.

      • Pour les VM dont la longueur de nom d'hôte est supérieure à 15 caractères, exécutez la commande suivante:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

        Remplacez les éléments suivants :

        • JOIN_DOMAIN_USER est le nom du compte utilisateur. utilisée pour joindre le domaine.
        • MANAGED_AD_REALM_NAME est le nom de domaine du Service Microsoft AD géré que vous souhaitez utiliser.
        • MANAGED_AD_DOMAIN_NAME est le nom de domaine du Service Microsoft AD géré que vous souhaitez utiliser.

  3. Mettre à jour la configuration Kerberos Mettez à jour /etc/krb5.conf avec les Définition de domaine et mappage domaine-domaine:

     [realms]
          DOMAIN_NAME = {
                   kdc = DOMAIN_NAME
                   default_domain = DOMAIN_NAME
          }
 [domain_realm]
          .domain_name_lowercase = DOMAIN_NAME
          domain_name_lowercase = DOMAIN_NAME

    Remplacez les éléments suivants :

    • DOMAIN_NAME est le nom de domaine que vous voulez utiliser, saisi en majuscules.
    • domain_name_lowercase est le nom de domaine que vous souhaitez utiliser, en minuscules.

    Voici un exemple:

    [realms]
       FILE.DEMO.LOCAL = {
                kdc = FILE.DEMO.LOCAL
                default_domain = FILE.DEMO.LOCAL
       }

[domain_realm]
       .file.demo.local = FILE.DEMO.LOCAL
       file.demo.local = FILE.DEMO.LOCAL

  4. Exécutez le service rpc-gssd. Ajoutez la valeur d'attribut No-Strip suivante : à la section [General] dans /etc/idmapd.conf:

     [General]
 No-Strip = both

  5. Exécutez la commande suivante :

    sudo systemctl restart rpc-gssd

Image Centos

  1. Ssh à l'instance Compute Engine.

  2. Rejoignez le domaine Microsoft AD géré:

    sudo yum update \
sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients

  3. Effectuez l'une des opérations suivantes:

    • Pour les VM dont la longueur de nom d'hôte est inférieure ou égale à 15 caractères, exécutez la commande suivante:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

      Remplacez les éléments suivants :

      • JOIN_DOMAIN_USER est le nom du compte utilisateur. utilisée pour joindre le domaine.
      • MANAGED_AD_DOMAIN_NAME est le nom de domaine du Service Microsoft AD géré que vous souhaitez utiliser.

    • Pour les VM dont le nom d'hôte comporte plus de 15 caractères, exécutez la commande la commande suivante:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

      Remplacez les éléments suivants :

      • JOIN_DOMAIN_USER est le nom du compte utilisateur. utilisée pour joindre le domaine.
      • MANAGED_AD_REALM_NAME est le nom de domaine du Service Microsoft AD géré que vous souhaitez utiliser.
      • MANAGED_AD_DOMAIN_NAME est le nom de domaine du Service Microsoft AD géré que vous souhaitez utiliser.

  4. Assurez-vous que le service SSD est en cours d'exécution:

    sudo systemctl status sssd

  5. Exécutez le service rpc-gssd. Ajoutez ce qui suit sous l'attribut No-Strip à la section [General] dans /etc/idmapd.conf:

    [General]
No-Strip = both

  6. Exécutez la commande suivante : Cette commande permet de s’assurer que le client NFS ne supprimer le nom de domaine du nom d'hôte du serveur NFS. Pour plus d'informations, Voir Archives de la liste NFS Ganesha et Arch Linux Archive:

    sudo systemctl start rpc-gssd

Se déconnecter d'une instance Filestore et se reconnecter au service Microsoft AD géré

console Google Cloud

Déconnecter un service Microsoft AD géré d'une instance Filestore

  1. Déconnectez une instance Filestore connectée au service Microsoft AD géré.

    Dans la console Google Cloud, accédez à la page "Instances Filestore".

    Accéder à la page des instances Filestore

  2. Cliquez sur l'ID de l'instance à modifier.

  3. Dans le volet Point d'installation NFS, sous Protocole, à côté de Nom du service d'annuaire, cliquez sur Déconnectez le domaine AD.

  4. Dans la fenêtre Échec de la déconnexion du domaine, lisez l'alerte. Cliquez sur Modifier l'instance.

    Au moins une règle dans Contrôle des accès doit être mappée sur le rôle Administrateur avec le paramètre de sécurité d'installation sys, par exemple : Access=Admin Mount et sec=sys.

  5. Dans le volet Modifier le partage, localisez la règle dans laquelle L'accès est défini sur Administrateur. Cliquez sur Installer sec= ..., puis sélectionnez sys pour ajouter cette option au paramètre existant.

  6. Cliquez sur OK.

  7. Cliquez sur Enregistrer.

  8. À côté de Nom du service d'annuaire, cliquez sur Déconnectez le domaine AD.

  9. Dans le champ de la fenêtre Se déconnecter du domaine ?, saisissez le nom. du domaine dont vous souhaitez vous déconnecter.

  10. Cliquez sur Déconnecter.

Modifier les règles d'accès

  1. Actualisez la page. Notez que Nom du service d'annuaire est maintenant défini sur Aucun.

  2. Cliquez sur Modifier.

  3. Dans le volet Modifier le partage, localisez toute règle définissant l'accès à un rôle. autre que Admin (par exemple, Editor). Dans la règle, cliquez sur Installez sec=, puis sélectionnez sys pour l'ajouter . Cliquez sur OK.

  4. Cliquez sur Enregistrer.

  5. Actualisez la page.

    Les paramètres de la règle sont mis à jour.

Reconnecter un service Microsoft AD géré à une instance Filestore

  1. Reconnectez une instance Filestore au service Microsoft AD géré.

    Dans le volet Point d'installation NFS, sous Protocole, à côté de Nom du service d'annuaire, cliquez sur Rejoindre un domaine AD

  2. Dans la fenêtre Associer cette instance à un domaine Active Directory, procédez comme suit : sélectionnez Utiliser les domaines du projet actuel Dans le menu Rejoindre un domaine Active Directory, sélectionnez le domaine que vous souhaitez utiliser.

  3. Dans le menu Nom du compte d'ordinateur, saisissez un nom.

  4. Cliquez sur Rejoindre le domaine.

  5. Actualisez la page. Notez que le nom du service d'annuaire a été mis à jour. avec votre sélection.

  6. Cliquez sur Modifier.

  7. Dans le volet Modifier le partage, cliquez sur Installez sec=... dans toutes les règles applicables et supprimez sys. de votre choix. Cliquez sur OK.

  8. Cliquez sur Enregistrer.

  9. Actualisez la page.

    Les paramètres de la règle sont mis à jour.

Étape suivante