前提條件

• 已有至少1個可用狀態的CIFS文件系統。
• 已準備AD域環境，已創建AD域控制器，至少有一臺客戶端已加入域。請參考搭建AD域。

操作步驟

步驟一：生成keytab文件

說明
生成keytab文件的操作在AD域控制器上進行。

1. 登錄AD域控制器上為文件系統設置本地域名。

   文件系統服務主體依賴域名，因此需要先創建文件系統掛載點對應的域名。需要分別為普通AD域客戶端和AD域控制器進行設置。hosts文件路徑：C:\Windows\System32\drivers\etc\hosts。本地域名配置如下：

   <server IP> <文件系統本地域名>.<realm>
   

   參數說明：

   參數	說明
   server IP	文件系統掛載地址前的IP。
   文件系統本地域名	自定義的文件系統的域名名稱。 注：每個文件系統的域名名稱應保持唯一。
   realm	AD域名，如“sfs.com”。

   示例：

   100.xx.xx.xx test-fs-01.sfs.com
   

   

2. 設置服務賬戶。按照如下格式使用dsadd命令創建一個服務賬號。

   注意
   您需要記住設置的賬戶名和密碼等信息，后續步驟會用到。
   

   dsadd user CN=[AD域服務賬戶名],DC=[AD域域名],DC=[com]
    -samid [AD域服務賬戶名]
    -display [賬戶描述]
    -pwd [賬戶密碼]
    -pwdneverexpires yes
   

   示例：

   dsadd user CN=NASuser01,DC=sfs,DC=com
    -samid fsuser01
    -display "ctyunnas service account"
    -pwd zmqw@md3****
    -pwdneverexpires yes
   

   

3. 執行以下命令為CIFS文件系統域名注冊SPN服務主體。

   setspn -S cifs/[文件系統本地域名]@ [realm] [AD域服務賬戶名]
   

   參數說明：

   參數	說明
   文件系統本地域名	在步驟1中為文件系統掛載點設置的域名。
   realm	AD域名。在搭建AD域環境時設置的域名，本文中為“sfs.com”。
   AD域服務賬戶名	步驟2中的samid。

   示例：

   setspn -S cifs/test-fs-01.sfs.com@sfs.com fsuser01
   

   

4. 在AD域控制器上執行以下命令為CIFS文件系統服務主體生成Keytab文件，用于用戶的身份認證。

   Ktpass
    -princ cifs/[文件系統本地域名]@[realm（必須大寫）]
    -ptype KRB5_NT_PRINCIPAL
    -mapuser [AD域服務賬戶名]@[realm]
    -crypto All
    -out [密鑰表文件生成路徑]
    -pass [賬戶密碼]
   

   參數說明：

   參數	說明
   princ	設置服務主體名稱（SPN）。填寫步驟1中為文件系統設置的本地域名。
   ptype	指定密鑰表文件的類型。設置為：KRB5_NT_PRINCIPAL（用于普通服務賬戶）。
   mapuser	AD域服務賬戶名，填寫步驟2中的samid。將SPN映射到一個AD域用戶賬戶，這個用戶賬戶將與SPN相關聯，用于身份驗證和授權。
   crypto	選擇用于加密密鑰的加密算法：ALL。即所有的加密算法，包括DES-CBC-CRC、DES-CBC-MD5、RC4-HMAC-NT等。
   out	指定生成的密鑰表文件的輸出路徑和文件名。 /out c:\temp\service.keytab將創建一個名為service.keytab的密鑰表文件，并將其保存到c:\temp目錄下。
   pass	指定與映射用戶賬戶對應的密碼。即在步驟2為創建文件系統服務賬戶時設置的密碼。

   示例：

   Ktpass
    -princ cifs/test-fs-01.sfs.com@SFS.com
    -ptype KRB5_NT_PRINCIPAL
    -mapuser fsuser01@sfs.com
    -crypto All
    -out C:\nas_service.keytab
    -pass zmqw@md3****
   

   

5. 將keytab文件傳至登錄天翼云控制臺所用的客戶端。

   若使用本地電腦登錄天翼云控制臺，需要將AD域控制器上生成的keytab文件傳至本地電腦，具體方法參考：怎樣在本地主機和Windows云主機之間互傳數據？。此方法需要使用彈性IP，彈性IP是計費服務，計費說明參考計費概述-彈性IP。

   若為云主機綁定彈性IP，可以直接使用云主機登錄天翼云控制臺進行接下來的步驟，且不必進行本地電腦與云電腦的keytab文件傳輸。

   說明
   遠程桌面連接時需要輸入云主機的用戶名密碼，是指在創建云主機時的用戶名（默認為Administrator）和密碼。
   

步驟二：上傳keytab文件

1. 登錄彈性文件服務控制臺，進入文件系統列表頁。
2. 找到目標文件系統并點擊名稱，進入文件系統詳情頁。
3. 在文件系統詳情頁下方“訪問控制”頁簽，打開“開啟AD域對接”的開關。
4. 設置“是否允許匿名訪問”：若如果允許匿名訪問文件系統，則普通非AD域用戶也可以掛載文件此文件系統，掛載后用戶身份為Nobody。默認不開啟，只能AD域用戶掛載。
5. 點擊按鈕上傳Keytab文件。選擇步驟一生成的Keytab文件，選擇后文件服務器會對keytab文件進行驗證，驗證通過后“確定”按鈕變為可用。
   
6. 點擊“確定”，文件服務器將會把文件系統加入到AD域中。

說明
若關閉了“開啟AD域對接”開關，文件系統便會退出AD域，若要重新加入須要重新上傳配置。
若要修改AD域配置，如“是否允許匿名訪問”或者重新上傳其它的keytab文件需要點擊“確定”才能生效。
若文件在系統在加入AD域之前已經被掛載，當設置加入AD域后需要重新掛載才會在客戶端上生效。
加入AD域是異步操作，在點擊“確定”后，需要等待3~5分鐘可以使用域用戶身份掛載訪文件系統。