Utiliser Active Directory pour authentifier les utilisateurs

Pour utiliser l'Active Directory de votre entreprise ou AWS Managed Microsoft AD pour un accès authentifié à votre partage de fichiers SMB, modifiez les paramètres SMB de votre passerelle à l'aide de vos informations d'identification de domaine Microsoft AD. Cela permet à votre passerelle de rejoindre votre domaine Active Directory et d'autoriser les membres du domaine à accéder au partage de fichiers SMB.

Note

À l'aide de AWS Directory Service, vous pouvez créer un service de domaine Active Directory hébergé dans le AWS Cloud.

Pour l'utiliser AWS Managed Microsoft AD avec une EC2 passerelle Amazon, vous devez créer l' EC2 instance Amazon dans le même VPC que le AWS Managed Microsoft AD, ajouter le groupe de sécurité _WorkspaceMembers à l'instance EC2 Amazon et rejoindre le domaine AD à l'aide des informations d'identification d'administrateur du. AWS Managed Microsoft AD

Pour plus d'informations à ce sujet AWS Managed Microsoft AD, consultez le Guide AWS Directory Service d'administration.

Pour plus d'informations sur Amazon EC2, consultez la documentation Amazon Elastic Compute Cloud.

Vous pouvez également activer les listes de contrôle d'accès (ACLs) sur votre partage de fichiers SMB. Pour plus d'informations sur la procédure d'activation ACLs, consultezUtilisation de Windows ACLs pour limiter l'accès au partage de fichiers SMB.

Pour activer l'authentification Active Directory

1. Ouvrez la console Storage Gateway à la https://console.aws.amazon.com/storagegateway/maison.

2. Choisissez Gateways, puis choisissez la passerelle pour laquelle vous souhaitez modifier les paramètres SMB.

3. Dans le menu déroulant Actions, choisissez Modifier les paramètres SMB, puis sélectionnez les paramètres Active Directory.

4. Dans Nom de domaine, entrez le nom du domaine Active Directory auquel vous souhaitez que votre passerelle rejoigne.

   Note

   L'état Active Directory indique Detached (Détaché) lorsqu'une passerelle n'a jamais rejoint un domaine.

   Votre compte de service Active Directory doit disposer des autorisations requises. Pour plus d'informations, voir Exigences relatives aux autorisations relatives aux comptes de service Active Directory Exigences relatives aux autorisations relatives .

   L'adhésion à un domaine crée un compte d'ordinateur Active Directory dans le conteneur d'ordinateurs par défaut (qui n'est pas une unité d'organisation), en utilisant l'ID de passerelle de la passerelle comme nom de compte (par exemple, SGW-1234ADE). Il n'est pas possible de personnaliser le nom de ce compte.

   Si votre environnement Active Directory exige que vous préséliciez des comptes pour faciliter le processus d'adhésion à un domaine, vous devez créer ce compte à l'avance.

   Si votre environnement Active Directory dispose d'une unité d'organisation désignée pour les nouveaux objets informatiques, vous devez spécifier cette unité d'organisation lorsque vous rejoignez le domaine.

   Si votre passerelle ne parvient pas à rejoindre un annuaire Active Directory, essayez de le rejoindre avec l'adresse IP de l'annuaire en utilisant l'opération JoinDomainAPI.

5. Pour l'utilisateur du domaine et le mot de passe du domaine, entrez les informations d'identification du compte de service Active Directory que la passerelle utilisera pour rejoindre le domaine.

6. (Facultatif) Pour Unité organisationnelle (UO), entrez l'UO désignée que votre Active Directory utilise pour les nouveaux objets informatiques.

7. (Facultatif) Pour Contrôleur (s) de domaine (DC), entrez le nom d'un ou de plusieurs contrôleurs DCs par lesquels votre passerelle se connectera à Active Directory. Vous pouvez en saisir plusieurs DCs sous forme de liste séparée par des virgules. Vous pouvez laisser ce champ vide pour permettre au DNS de sélectionner automatiquement un contrôleur de domaine.

8. Sélectionnez Enregistrer les modifications.

Pour limiter l'accès au partage de fichiers à des utilisateurs et des groupes AD

1. Dans la console Storage Gateway, choisissez le partage de fichiers auquel vous souhaitez limiter l'accès.

2. Dans le menu déroulant Actions, choisissez Modifier les paramètres d'accès au partage de fichiers.

3. Dans la section Accès au partage de fichiers par les utilisateurs et les groupes, choisissez vos paramètres.

   Pour Utilisateurs et groupes autorisés, choisissez Ajouter un utilisateur autorisé ou Ajouter un groupe autorisé et entrez un utilisateur ou un groupe AD auquel vous souhaitez autoriser l'accès au partage de fichiers. Répétez cette procédure pour autoriser autant d'utilisateurs et de groupes que nécessaire.

   Pour Utilisateurs et groupes refusés, choisissez Ajouter un utilisateur refusé ou Ajouter un groupe refusé et entrez un utilisateur ou un groupe AD auquel vous souhaitez refuser l'accès au partage de fichiers. Répétez cette procédure pour refuser autant d'utilisateurs et de groupes que nécessaire.

   Note

   La section Accès au partage de fichiers par les utilisateurs et les groupes n'apparaît que si Active Directory est sélectionné.

   Les groupes doivent être préfixés par le @ caractère. Les formats acceptables sont les suivants : DOMAIN\User1user1,@group1, et@DOMAIN\group1.

   Si vous configurez des listes d'utilisateurs et de groupes autorisés et refusés, Windows ACLs n'accordera aucun accès qui remplace ces listes.

   Les listes d'utilisateurs et de groupes autorisés et refusés sont évaluées au ACLs préalable et contrôlent les utilisateurs autorisés à monter le partage de fichiers ou à y accéder. Si des utilisateurs ou des groupes sont placés dans la liste des utilisateurs autorisés, celle-ci est considérée comme active et seuls ces utilisateurs peuvent monter le partage de fichiers.

   Une fois qu'un utilisateur a monté un partage de fichiers, ACLs offrez une protection plus précise qui contrôle les fichiers ou dossiers spécifiques auxquels l'utilisateur peut accéder. Pour plus d'informations, voir Activation de Windows ACLs sur un nouveau partage de fichiers SMB.

4. Une fois l'ajout d'entrées terminé, choisissez Save (Enregistrer).