Configurare il protocollo NFSv4.1

La guida seguente mostra come implementare il protocollo NFSv4.1 con una nuova istanza Filestore.

Informazioni su NFSv4.1

Filestore offre il supporto del protocollo NFSv4.1 (anteprima) per le istanze create in livelli di servizio aziendali o di zona.

Questa funzionalità può essere integrata con Managed Service per Microsoft Active Directory (Microsoft AD gestito) per supportare carichi di lavoro che richiedono l'autenticazione di client e server, controlli dell'integrità dei dati dei messaggi e crittografia dei dati in transito, funzionalità precedentemente non disponibili in Filestore.

  • L'autenticazione è supportata utilizzando LDAP e Kerberos e include le seguenti impostazioni di sicurezza (impostazioni):

    • Autenticazione client e server (krb5).
    • Controlli di integrità del messaggio (krb5i). Include le funzionalità dell'impostazione precedente.
    • Crittografia dei dati in transito (krb5p). Include le funzionalità dell'impostazione precedente.

Microsoft AD gestito è l'unica soluzione Google Cloud completamente gestita che supporta sia LDAP che Kerberos, i requisiti per il protocollo NFSv4.1 e i suoi vantaggi in termini di sicurezza e privacy. Sebbene non sia richiesta l'integrazione con Microsoft AD gestito, ti consigliamo vivamente di offrire un'esperienza utente Google Cloud ottimale per gestire gli account utente, nonché i gruppi e le autorizzazioni fluttuanti.

Devi usare NFSv4.1?

Molte organizzazioni si affidano a sistemi legacy per operazioni business-critical. Molti di questi sistemi richiedono l'autenticazione e la crittografia in transito per l'archiviazione dei file di rete. NFSv3 non è stato progettato pensando all'autenticazione. L'integrazione del protocollo NFSv4.1 di Filestore con Microsoft AD gestito ora soddisfa questo requisito critico relativo agli utenti.

Obiettivi

In questa guida imparerai a completare le attività seguenti:

Crea un'istanza Filestore che utilizza NFSv4.1

Per utilizzare Microsoft AD gestito con un'istanza Filestore, il dominio Microsoft AD gestito deve essere creato prima dell'istanza Filestore.

Prima di iniziare

  1. Sia il dominio Microsoft AD gestito che l'istanza Filestore devono utilizzare lo stesso VPC nello stesso progetto.

    Se il servizio Microsoft AD gestito è ospitato in un progetto separato dall'istanza Filestore che vuoi utilizzare, la rete VPC Filestore deve essere connessa in peering con il dominio Microsoft AD gestito.

    Per maggiori informazioni, consulta Eseguire il deployment di Microsoft Active Directory gestito con l'accesso tra progetti utilizzando il peering di dominio.

  2. Completa tutti i passaggi di configurazione per creare un'istanza Filestore.

  3. Assicurati che gli utenti di Microsoft AD gestito abbiano i campi POSIX RFC 2307 e RFC 2307bis compilati, simili all'esempio seguente.

    Per ulteriori informazioni su come configurare gli oggetti in Microsoft AD gestito, consulta Oggetti di Active Directory gestiti.

    Utenti e computer di Active Directory

    I passaggi seguenti descrivono gli attributi da impostare per utenti e gruppi LDAP. Puoi gestire gli attributi POSIX utilizzando lo snapshot MMC Utenti e computer di Active Directory.

    Apri l'Editor attributi nel seguente modo:

    1. Fai clic su Avvia.

    2. Fai clic su Strumenti di amministrazione Windows e seleziona Utenti e computer di Active Directory.

      Si apre la finestra Utenti e computer di Active Directory.

    3. Seleziona il nome di dominio che vuoi visualizzare. Per espandere i contenuti, fai clic sulla freccia di espansione.

    4. Nel menu Visualizzazione Utenti e computer di Active Directory, seleziona Funzionalità avanzate.

    5. Nel riquadro a sinistra, fai doppio clic su Utenti.

    6. Nell'elenco degli utenti, fai doppio clic su un utente per visualizzare la scheda Editor attributi.

      Per gli utenti LDAP devono essere impostati i seguenti attributi:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Ogni utente deve avere un uidNumber univoco. Tieni presente che il valore dell'attributo uid è sensibile alle maiuscole. Per l'attributo objectClass, user è l'impostazione predefinita sulla maggior parte dei deployment di Active Directory (AD). Ecco un esempio:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Per i gruppi LDAP devono essere impostati i seguenti attributi:

      • cn
      • gidNumber
      • objectClass

      Ogni gruppo deve avere un gidNumber univoco. Tieni presente che il valore dell'attributo cn è sensibile alle maiuscole. Per l'attributo objectClass, group è l'impostazione predefinita nella maggior parte dei deployment AD. Ecco un esempio:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Concedi l'accesso a Filestore per creare e gestire gli oggetti nella versione gestita di Microsoft AD utilizzando il comando gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(PROJECT_ID)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Sostituisci quanto segue:

    • MANAGED_MICROSOFT_AD_PROJECT_ID è l'ID del progetto in cui si trova il dominio Microsoft Active Directory gestito.
    • PROJECT_ID è l'ID del progetto in cui si trova l'istanza Filestore.

    Potresti visualizzare il seguente errore:

    INVALID_ARGUMENT: Service account service-PROJECT_ID@cloud-filer.iam.gserviceaccount.com does not exist.

    In questo caso, utilizza il comando seguente per risolverlo:

    gcloud beta services identity create --service=file.googleapis.com -project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Crea un'istanza Filestore con o senza Microsoft AD gestito

In questa sezione creerai un'istanza Filestore configurata per l'utilizzo con il protocollo NFSv4.1. Sono inclusi i passaggi facoltativi per gli utenti che scelgono di non utilizzare Microsoft Active Directory gestito.

  • Assicurati di disporre di una quota sufficiente.

    Gli intervalli di quota delle istanze in base alla località della regione e al livello di servizio che vuoi utilizzare. Per aumentare la quota disponibile, devi inviare una richiesta di aumento della quota.

Console Google Cloud

Configura i parametri dell'istanza

  1. Nella console Google Cloud, vai alla pagina Istanze Filestore.

    Vai alla pagina Istanze Filestore

  2. Fai clic su Crea istanza.

  3. Specifica i parametri di base dell'istanza, tra cui nome, tipo di istanza e capacità:

    1. Nel campo ID istanza, inserisci il nome da utilizzare per l'istanza Filestore.
    2. In Tipo di istanza, seleziona Enterprise o A livello di zona.
    3. In Capacità allocata, inserisci la capacità che vuoi utilizzare. Devi inserire un valore compreso tra 1 TB e 10 TB, con incrementi di 256 GiB (0,25 TiB).
    4. In Regione, seleziona la regione che vuoi utilizzare.
    5. In Rete VPC, seleziona la rete che vuoi utilizzare per l'istanza Filestore e i client NFS.
      • Se Microsoft AD gestito si trova nello stesso progetto dell'istanza Filestore, la rete VPC deve essere autorizzata nel dominio Microsoft AD gestito.
      • Se Microsoft Active Directory gestito si trova in un progetto separato, la rete VPC deve essere configurata con il peering di rete Active Directory nella configurazione Microsoft Active Directory gestito.
    6. In Intervallo IP allocato, seleziona Utilizza un intervallo IP allocato automaticamente (consigliato).
    7. In Protocollo, seleziona NFSv4.1.

Configura le impostazioni di autenticazione dell'istanza

  1. Configura le impostazioni di autenticazione dell'istanza.
    1. Fai clic su Autenticazione.
    2. Seleziona il progetto che ospita Microsoft Active Directory gestito. Ai fini di questa guida, supporremo che il progetto attuale sia quello che vogliamo utilizzare.
    3. Nell'elenco Partecipa a un dominio Active Directory, seleziona il dominio Microsoft AD gestito che vuoi utilizzare.
    4. Nel campo Nome account computer, inserisci il nome dell'account computer che vuoi utilizzare per identificare l'istanza Filestore nel dominio Microsoft AD gestito. Il nome è limitato a 15 caratteri alfanumerici.
    5. Nel campo Nome condivisione file, inserisci il nome della condivisione così come verrà utilizzato dai client NFSv4.1.

  2. Nel riquadro Controllo accesso, completa uno dei seguenti passaggi:

    • Se utilizzi Microsoft AD gestito, seleziona Limita l'accesso in base all'indirizzo o all'intervallo IP.

      1. Imposta la regola di accesso in base all'IP o alla subnet che vuoi definire. Ai fini di questa guida, utilizza le seguenti impostazioni:
      2. Nel campo Indirizzo IP o intervallo 1, inserisci l'indirizzo o l'intervallo IP che vuoi utilizzare.
      3. Fai clic sull'elenco a discesa Accesso 1 e seleziona Amministratore.
      4. Fai clic sull'elenco a discesa Installasec= 1 e seleziona la casella di controllo sys.

      Il proprietario predefinito di / di Filestore è root. Per abilitare l'accesso all'istanza per altri utenti e gruppi, devi creare una regola di accesso che consenta l'accesso alle VM di gestione utilizzando il ruolo Admin e l'impostazione di sicurezza sec=sys.

    • Se non utilizzi Microsoft Active Directory gestito, seleziona Concedi l'accesso a tutti i client sulla rete VPC.

      Se non viene utilizzato Microsoft AD gestito, l'unica impostazione di sicurezza supportata è sec=sys.

  3. Fai clic sul pulsante Crea per creare l'istanza.

gcloud

  1. Installa e inizializza gcloud CLI.

    Se hai già installato gcloud CLI, esegui questo comando per aggiornarlo:

    gcloud components update

  2. Completa uno dei seguenti passaggi:

    1. Se utilizzi Microsoft AD gestito, esegui il comando gcloud beta filestore instances create seguente per creare un'istanza di Filestore aziendale o di zona:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
--managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
--project=CONSUMER_PROJECT_ID

      Sostituisci quanto segue:

      • INSTANCE_ID è l'ID dell'istanza Filestore che vuoi creare. Consulta Assegna un nome all'istanza.
      • DESCRIPTION è una descrizione dell'istanza che vuoi utilizzare.
      • LOCATION è la località in cui vuoi che si trovi l'istanza Filestore.
      • TIER è il livello di servizio che vuoi utilizzare.
      • PROTOCOL è NFS_v4_1.
      • FILE_SHARE_NAME è il nome specificato per la condivisione file NFS pubblicata dall'istanza.
      • CAPACITY è la dimensione desiderata per la condivisione file, compreso tra 1 TiB e 10 TiB.

      • VPC_NETWORK è il nome della rete VPC che vuoi che l'istanza utilizzi. Vedi Selezionare la rete VPC. Se vuoi specificare un VPC condiviso da un progetto di servizio, devi specificare il nome completo della rete, nel formato projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME, e specificare connect-mode=PRIVATE_SERVICE_ACCESS, in modo simile al seguente:

        --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

        Non puoi specificare una rete precedente per il valore vpc_network. Se necessario, crea una nuova rete VPC da utilizzare seguendo le istruzioni riportate in Creare una rete VPC in modalità automatica.

      • MANAGED_AD_PROJECT_ID è l'ID progetto in cui si trova il servizio Microsoft AD gestito.

      • MANAGED_AD_DOMAIN_NAME è il nome di dominio del servizio Microsoft AD gestito che vuoi utilizzare. È il nome di dominio che scegli durante la creazione di un dominio Microsoft Active Directory gestito.

      • DOMAIN_COMPUTER_ACCOUNT è qualsiasi nome che vuoi che il cluster venga chiamato nel dominio.

      • CONSUMER_PROJECT_ID è l'ID del progetto che contiene l'istanza Filestore.

      • CONNECT_MODE è DIRECT_PEERING o PRIVATE_SERVICE_ACCESS. Se stai specificando un VPC condiviso come rete, devi anche specificare PRIVATE_SERVICE_ACCESS come modalità di connessione. Questo flag è obbligatorio per il peering di rete VPC, che è obbligatorio quando si utilizza Microsoft AD gestito.

      • RESERVED_IP_RANGE è l'intervallo di indirizzi IP per l'istanza Filestore. Se specifichi connect-mode=PRIVATE_SERVICE_ACCESS e vuoi utilizzare un intervallo di indirizzi IP riservato, devi specificare il nome di un intervallo di indirizzi allocato anziché di un intervallo CIDR. Consulta Configurare un indirizzo IP riservato. Ti consigliamo di saltare questo flag per consentire a Filestore di trovare automaticamente un intervallo di indirizzi IP gratuito e di assegnarlo all'istanza.

    2. Se non utilizzi Microsoft AD gestito, esegui lo stesso comando del passaggio precedente per creare un'istanza Filestore, omettendo il flag --managed-ad e i flag per il peering di rete VPC, ovvero connect-mode e reserved-ip-range. Usa il seguente comando come esempio:

      gcloud beta filestore instances create INSTANCE-ID \
--description="DESCRIPTION" \
--region=LOCATION \
--tier=TIER \
--protocol=PROTOCOL \
--file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
--network=name="VPC_NETWORK" \
--project=CONSUMER_PROJECT_ID

Informazioni sugli elenchi di controllo dell'accesso dell'accesso (ACL) basati sulla rete in NFSv4.1.

In NFSv3 è supportata solo la versione di sicurezza sys. Questa impostazione considera attendibili gli utenti uid e gid forniti dal client durante il montaggio.

Nel protocollo Filestore NFSv4.1 sono disponibili diverse impostazioni o schemi di sicurezza ACL di rete:

  • krb5

    Autentica il client utilizzando un ticket Kerberos, che viene convalidato dal server Kerberos di Microsoft AD gestito.

  • krb5i

    Include l'autenticazione fornita da krb5 e utilizza anche Kerberos per eseguire controlli di integrità dei messaggi su tutto il traffico di rete da e verso l'istanza.

  • krb5p

    Include l'autenticazione fornita da krb5 e i controlli di integrità dei messaggi di krb5i e utilizza anche Kerberos per la crittografia dei dati in transito.

Se vuoi sfruttare queste opzioni, è necessaria l'integrazione di Managed Service for Microsoft Active Directory.

Se non viene specificato un dominio Managed Service for Microsoft Active Directory, è supportata solo la versione di sicurezza sys.

Per ulteriori informazioni, consulta le limitazioni di NFSv4.1.

Montaggio delle istanze NFSv4.1 di Filestore su client Linux

I passaggi seguenti mostrano come montare le istanze sui client Linux.

  • Monta con sec=sys per le autorizzazioni NFS standard:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Monta con sec=krb5 per l'autenticazione basata su Kerberos:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Monta con sec=krb5i per l'autenticazione basata su Kerberos e i controlli di integrità dei messaggi:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Monta con sec=krb5p per l'autenticazione basata su Kerberos, i controlli di integrità e la crittografia dei dati in transito:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

    Sostituisci quanto segue:

    • FILESTORE-INSTANCE-FQDN è il nome di dominio completo in cui si trova l'istanza Filestore.
    • INSTANCE_SHARE_POINT è il nome della condivisione file dell'istanza Filestore che vuoi connettere.
    • MOUNT_POINT è il punto di montaggio o il nome della directory in cui vuoi montare.

Configurazione client Linux

Un'istanza Filestore NFSv4.1 consente ai client di eseguire operazioni NFS utilizzando diverse versioni di sicurezza. Queste versioni personalizzate vengono configurate dall'amministratore dell'istanza tramite ACL di rete sull'istanza NFSv4.1 di Filestore, durante la creazione o se vengono aggiornate dopo la creazione.

La versione di sicurezza sys utilizza l'autenticazione Unix standard, mentre le versioni krb5, krb5i e krb5p utilizzano l'autenticazione basata su Kerberos.

Le versioni krb5, krb5i e krb5p richiedono che i client siano connessi allo stesso dominio Microsoft AD gestito dell'istanza Filestore. Completa i seguenti passaggi appropriati per il tuo ambiente.

Immagine Ubuntu

  1. SSH all'istanza di Compute Engine.

  2. Esegui i comandi seguenti per unire il dominio Microsoft Active Directory gestito.

    1. Esegui questo comando di configurazione:

      sudo apt-get update \
sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry

    2. Quando viene richiesta l'area di autenticazione, sostituisci la voce esistente con il dominio Microsoft AD gestito utilizzato nell'istanza Filestore. Inserisci il valore in maiuscolo, premi il tasto Freccia per selezionare OK, poi premi Invio.

    3. Quando vengono richiesti gli host, lascia il campo vuoto e procedi.

    4. Completa uno dei seguenti passaggi:

      • Per le VM con una lunghezza del nome host inferiore o uguale a 15 caratteri, esegui questo comando:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

        Sostituisci quanto segue:

        • JOIN_DOMAIN_USER è il nome dell'account utente utilizzato per entrare a far parte del dominio.
        • MANAGED_AD_DOMAIN_NAME è il nome di dominio del servizio Microsoft AD gestito che vuoi utilizzare.

      • Per le VM con una lunghezza del nome host superiore a 15 caratteri, esegui questo comando:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

        Sostituisci quanto segue:

        • JOIN_DOMAIN_USER è il nome dell'account utente utilizzato per entrare a far parte del dominio.
        • MANAGED_AD_REALM_NAME è il nome di autenticazione del servizio Microsoft AD gestito che vuoi utilizzare.
        • MANAGED_AD_DOMAIN_NAME è il nome di dominio del servizio Microsoft AD gestito che vuoi utilizzare.

  3. Aggiorna configurazione Kerberos. Aggiorna /etc/krb5.conf con la definizione dell'area di autenticazione e la mappatura del dominio dell'area di autenticazione richieste:

     [realms]
          DOMAIN_NAME = {
                   kdc = DOMAIN_NAME
                   default_domain = DOMAIN_NAME
          }
 [domain_realm]
          .domain_name_lowercase = DOMAIN_NAME
          domain_name_lowercase = DOMAIN_NAME

    Sostituisci quanto segue:

    • DOMAIN_NAME è il nome di dominio da utilizzare, inserito in maiuscolo.
    • domain_name_lowercase è il nome di dominio da utilizzare, in minuscolo.

    Fai riferimento a quanto segue per un esempio:

    [realms]
       FILE.DEMO.LOCAL = {
                kdc = FILE.DEMO.LOCAL
                default_domain = FILE.DEMO.LOCAL
       }

[domain_realm]
       .file.demo.local = FILE.DEMO.LOCAL
       file.demo.local = FILE.DEMO.LOCAL

  4. Esegui il servizio rpc-gssd. Aggiungi il seguente valore dell'attributo No-Strip alla sezione [General] all'interno di /etc/idmapd.conf:

     [General]
 No-Strip = both

  5. Esegui questo comando:

    sudo systemctl restart rpc-gssd

Immagine di Centos

  1. Usa SSH per accedere all'istanza di Compute Engine.

  2. Aggiungi al dominio Microsoft Active Directory gestito:

    sudo yum update \
sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients

  3. Completa uno dei seguenti passaggi:

    • Per le VM con una lunghezza del nome host inferiore o uguale a 15 caratteri, esegui questo comando:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

      Sostituisci quanto segue:

      • JOIN_DOMAIN_USER è il nome dell'account utente utilizzato per entrare a far parte del dominio.
      • MANAGED_AD_DOMAIN_NAME è il nome di dominio del servizio Microsoft AD gestito che vuoi utilizzare.

    • Per le VM con una lunghezza del nome host superiore a 15 caratteri, esegui questo comando:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

      Sostituisci quanto segue:

      • JOIN_DOMAIN_USER è il nome dell'account utente utilizzato per entrare a far parte del dominio.
      • MANAGED_AD_REALM_NAME è il nome di area di autenticazione del servizio Microsoft AD gestito che vuoi utilizzare.
      • MANAGED_AD_DOMAIN_NAME è il nome di dominio del servizio Microsoft AD gestito che vuoi utilizzare.

  4. Assicurati che il servizio SSD sia in esecuzione:

    sudo systemctl status sssd

  5. Esegui il servizio rpc-gssd. Aggiungi quanto segue sotto il valore dell'attributo No-Strip alla sezione [General] all'interno di /etc/idmapd.conf:

    [General]
No-Strip = both

  6. Esegui questo comando. Questo comando aiuta a garantire che il client NFS non elimini il nome di dominio dal nome host del server NFS. Per ulteriori informazioni, consulta NFS Ganesha List Archives e Arch Linux Archive:

    sudo systemctl start rpc-gssd

Disconnettiti e riconnettiti a Microsoft AD gestito da un'istanza Filestore

Console Google Cloud

Disconnetti un Microsoft AD gestito da un'istanza Filestore

  1. Scollega un'istanza Filestore connessa a Microsoft AD gestito.

    Nella console Google Cloud, vai alla pagina Istanze Filestore.

    Vai alla pagina Istanze Filestore

  2. Fai clic sull'ID istanza dell'istanza da modificare.

  3. Nel riquadro Punto di montaggio NFS, in Protocollo, accanto a Nome servizio directory, fai clic su Disconnetti dominio AD.

  4. Nella finestra Disconnessione dal dominio non riuscita, leggi l'avviso e fai clic su Modifica istanza.

    Almeno una regola in Controllo dell'accesso deve essere mappata al ruolo Amministratore con l'impostazione di sicurezza di montaggio sys, ad esempio Accesso=montaggio amministratore e sec=sys.

  5. Nel riquadro Modifica condivisione, individua la regola in cui Accesso è impostato su Amministratore. Fai clic su Monta sec= ... e seleziona sys per aggiungere questa opzione all'impostazione esistente.

  6. Fai clic su Ok.

  7. Fai clic su Salva.

  8. Accanto a Nome servizio directory, fai clic su Disconnetti dominio AD.

  9. Nel campo della finestra Vuoi disconnetterti?, inserisci il nome del dominio da cui vuoi disconnetterti.

  10. Fai clic su Disconnetti.

Modifica le regole di accesso

  1. Aggiorna la pagina. Tieni presente che il campo Nome servizio directory è ora impostato su Nessuno.

  2. Fai clic su Modifica.

  3. Nel riquadro Modifica condivisione, individua una regola che imposti l'accesso per un ruolo diverso da Amministratore, ad esempio Editor. Nella regola, fai clic su Installa sec= ... e seleziona sys per aggiungerla all'impostazione esistente. Fai clic su OK.

  4. Fai clic su Salva.

  5. Aggiorna la pagina.

    Le impostazioni delle regole vengono aggiornate.

Riconnettere un account Microsoft AD gestito a un'istanza Filestore

  1. Riconnettere un'istanza Filestore a Microsoft AD gestito.

    Nel riquadro Punto di montaggio NFS, in Protocollo, accanto a Nome servizio directory, fai clic su Accedi al dominio AD.

  2. Nella finestra Unisci questa istanza a un dominio Active Directory, seleziona Utilizza i domini del progetto attuale e nel menu Partecipa a un dominio Active Directory, seleziona il dominio che vuoi utilizzare.

  3. Inserisci un nome nel menu Nome account computer.

  4. Fai clic su Join Domain.

  5. Aggiorna la pagina. Tieni presente che il campo Nome servizio directory è stato aggiornato con la tua selezione.

  6. Fai clic su Modifica.

  7. Nel riquadro Modifica condivisione, fai clic su Monta sec= ... in tutte le regole applicabili e rimuovi la selezione di sys. Fai clic su OK.

  8. Fai clic su Salva.

  9. Aggiorna la pagina.

    Le impostazioni delle regole vengono aggiornate.

Passaggi successivi