前提条件

• 已有至少1个可用状态的CIFS文件系统。
• 已准备AD域环境，已创建AD域控制器，至少有一台客户端已加入域。请参考搭建AD域。

操作步骤

步骤一：生成keytab文件

说明
生成keytab文件的操作在AD域控制器上进行。

1. 登录AD域控制器上为文件系统设置本地域名。

   文件系统服务主体依赖域名，因此需要先创建文件系统挂载点对应的域名。需要分别为普通AD域客户端和AD域控制器进行设置。hosts文件路径：C:\Windows\System32\drivers\etc\hosts。本地域名配置如下：

   <server IP> <文件系统本地域名>.<realm>
   

   参数说明：

   参数	说明
   server IP	文件系统挂载地址前的IP。
   文件系统本地域名	自定义的文件系统的域名名称。 注：每个文件系统的域名名称应保持唯一。
   realm	AD域名，如“sfs.com”。

   示例：

   100.xx.xx.xx test-fs-01.sfs.com
   

   

2. 设置服务账户。按照如下格式使用dsadd命令创建一个服务账号。

   注意
   您需要记住设置的账户名和密码等信息，后续步骤会用到。
   

   dsadd user CN=[AD域服务账户名],DC=[AD域域名],DC=[com]
    -samid [AD域服务账户名]
    -display [账户描述]
    -pwd [账户密码]
    -pwdneverexpires yes
   

   示例：

   dsadd user CN=NASuser01,DC=sfs,DC=com
    -samid fsuser01
    -display "ctyunnas service account"
    -pwd zmqw@md3****
    -pwdneverexpires yes
   

   

3. 执行以下命令为CIFS文件系统域名注册SPN服务主体。

   setspn -S cifs/[文件系统本地域名]@ [realm] [AD域服务账户名]
   

   参数说明：

   参数	说明
   文件系统本地域名	在步骤1中为文件系统挂载点设置的域名。
   realm	AD域名。在搭建AD域环境时设置的域名，本文中为“sfs.com”。
   AD域服务账户名	步骤2中的samid。

   示例：

   setspn -S cifs/test-fs-01.sfs.com@sfs.com fsuser01
   

   

4. 在AD域控制器上执行以下命令为CIFS文件系统服务主体生成Keytab文件，用于用户的身份认证。

   Ktpass
    -princ cifs/[文件系统本地域名]@[realm（必须大写）]
    -ptype KRB5_NT_PRINCIPAL
    -mapuser [AD域服务账户名]@[realm]
    -crypto All
    -out [密钥表文件生成路径]
    -pass [账户密码]
   

   参数说明：

   参数	说明
   princ	设置服务主体名称（SPN）。填写步骤1中为文件系统设置的本地域名。
   ptype	指定密钥表文件的类型。设置为：KRB5_NT_PRINCIPAL（用于普通服务账户）。
   mapuser	AD域服务账户名，填写步骤2中的samid。将SPN映射到一个AD域用户账户，这个用户账户将与SPN相关联，用于身份验证和授权。
   crypto	选择用于加密密钥的加密算法：ALL。即所有的加密算法，包括DES-CBC-CRC、DES-CBC-MD5、RC4-HMAC-NT等。
   out	指定生成的密钥表文件的输出路径和文件名。 /out c:\temp\service.keytab将创建一个名为service.keytab的密钥表文件，并将其保存到c:\temp目录下。
   pass	指定与映射用户账户对应的密码。即在步骤2为创建文件系统服务账户时设置的密码。

   示例：

   Ktpass
    -princ cifs/test-fs-01.sfs.com@SFS.com
    -ptype KRB5_NT_PRINCIPAL
    -mapuser fsuser01@sfs.com
    -crypto All
    -out C:\nas_service.keytab
    -pass zmqw@md3****
   

   

5. 将keytab文件传至登录天翼云控制台所用的客户端。

   若使用本地电脑登录天翼云控制台，需要将AD域控制器上生成的keytab文件传至本地电脑，具体方法参考：怎样在本地主机和Windows云主机之间互传数据？。此方法需要使用弹性IP，弹性IP是计费服务，计费说明参考计费概述-弹性IP。

   若为云主机绑定弹性IP，可以直接使用云主机登录天翼云控制台进行接下来的步骤，且不必进行本地电脑与云电脑的keytab文件传输。

   说明
   远程桌面连接时需要输入云主机的用户名密码，是指在创建云主机时的用户名（默认为Administrator）和密码。
   

步骤二：上传keytab文件

1. 登录弹性文件服务控制台，进入文件系统列表页。
2. 找到目标文件系统并点击名称，进入文件系统详情页。
3. 在文件系统详情页下方“访问控制”页签，打开“开启AD域对接”的开关。
4. 设置“是否允许匿名访问”：若如果允许匿名访问文件系统，则普通非AD域用户也可以挂载文件此文件系统，挂载后用户身份为Nobody。默认不开启，只能AD域用户挂载。
5. 点击按钮上传Keytab文件。选择步骤一生成的Keytab文件，选择后文件服务器会对keytab文件进行验证，验证通过后“确定”按钮变为可用。
   
6. 点击“确定”，文件服务器将会把文件系统加入到AD域中。

说明
若关闭了“开启AD域对接”开关，文件系统便会退出AD域，若要重新加入须要重新上传配置。
若要修改AD域配置，如“是否允许匿名访问”或者重新上传其它的keytab文件需要点击“确定”才能生效。
若文件在系统在加入AD域之前已经被挂载，当设置加入AD域后需要重新挂载才会在客户端上生效。
加入AD域是异步操作，在点击“确定”后，需要等待3~5分钟可以使用域用户身份挂载访文件系统。