Use o Active Directory para autenticar usuários - AWS Storage Gateway

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Use o Active Directory para autenticar usuários

Para usar seu Active Directory corporativo ou AWS Managed Microsoft AD para acesso autenticado pelo usuário ao seu compartilhamento de arquivos SMB, edite as configurações SMB do seu gateway com suas credenciais de domínio do Microsoft AD. Isso permite que seu gateway ingresse no domínio de seu Active Directory e permite que os membros do domínio acessem o arquivo de compartilhamento SMB.

nota

Usando AWS Directory Service, você pode criar um serviço de domínio do Active Directory hospedado no Nuvem AWS.

Para usar AWS Managed Microsoft AD com um EC2 gateway da Amazon, você deve criar a EC2 instância da Amazon na mesma VPC da AWS Managed Microsoft AD, adicionar o grupo de segurança _WorkspaceMembers à instância da EC2 Amazon e ingressar no domínio AD usando as credenciais de administrador do. AWS Managed Microsoft AD

Para obter mais informações sobre AWS Managed Microsoft AD, consulte o Guia de AWS Directory Service administração.

Para obter mais informações sobre a Amazon EC2, consulte a documentação do Amazon Elastic Compute Cloud.

Você também pode ativar as listas de controle de acesso (ACLs) no compartilhamento de arquivos SMB. Para obter informações sobre como ativar ACLs, consulteUsando o Windows ACLs para limitar o acesso ao compartilhamento de arquivos SMB.

Para ativar a autenticação do Active Directory

  1. Abra o console do Storage Gateway em https://console.aws.amazon.com/storagegateway/casa.

  2. Escolha Gateways e, em seguida, escolha o gateway para o qual você deseja editar as configurações de SMB.

  3. No menu suspenso Ações, escolha Editar configurações SMB e, em seguida, escolha as configurações do Active Directory.

  4. Em Nome do domínio, insira o nome do domínio do Active Directory ao qual você deseja que seu gateway participe.

    nota

    Active Directory status (Status do Active Directory) mostra Detached (Desanexado) quando um gateway nunca ingressou em um domínio.

    Sua conta de serviço do Active Directory deve ter as permissões necessárias. Para obter mais informações, consulte Requisitos de permissão da conta de serviço do Active Directory Requisitos de permissão do Active Directory.

    A associação a um domínio cria uma conta de computador do Active Directory no contêiner de computadores padrão (que não é uma OU), usando a ID do gateway como nome da conta (por exemplo, SGW-1234ADE). Não é possível personalizar o nome dessa conta.

    Se o ambiente do Active Directory exigir que você pré-configure contas para facilitar o processo de ingresso no domínio, você precisará criar essa conta com antecedência.

    Se seu ambiente do Active Directory tiver uma OU designada para novos objetos de computador, você deverá especificar essa OU ao ingressar no domínio.

    Se seu gateway não conseguir ingressar em um diretório do Active Directory, tente se unir ao endereço IP do diretório usando a operação de JoinDomainAPI.

  5. Em Usuário do domínio e senha do domínio, insira as credenciais da conta de serviço do Active Directory que o gateway usará para ingressar no domínio.

  6. (Opcional) Em Unidade organizacional (OU), insira a OU designada que seu Active Directory usa para novos objetos de computador.

  7. (Opcional) Para controlador (es) de domínio (DC), insira o nome de um ou mais DCs por meio dos quais seu gateway se conectará ao Active Directory. Você pode inserir vários DCs como uma lista separada por vírgulas. Você pode deixar esse campo em branco para permitir que o DNS selecione automaticamente um DC.

  8. Escolha Salvar alterações.

Para limitar o acesso ao compartilhamento de arquivos específicos de usuários e grupos do AD

  1. No console do Storage Gateway, escolha o compartilhamento de arquivos ao qual você deseja limitar o acesso.

  2. No menu suspenso Ações, escolha Editar configurações de acesso ao compartilhamento de arquivos.

  3. Na seção Acesso ao compartilhamento de arquivos de usuários e grupos, escolha suas configurações.

    Em Usuários e grupos permitidos, escolha Adicionar usuário permitido ou Adicionar grupo permitido e insira um usuário ou grupo do AD que você deseja permitir o acesso ao compartilhamento de arquivos. Repita esse processo para permitir quantos usuários e grupos forem necessários.

    Em Usuários e grupos negados, escolha Adicionar usuário negado ou Adicionar grupo negado e insira um usuário ou grupo do AD ao qual você deseja negar acesso ao compartilhamento de arquivos. Repita esse processo para negar quantos usuários e grupos forem necessários.

    nota

    A seção Acesso ao compartilhamento de arquivos de usuário e grupo aparece somente se o Active Directory estiver selecionado.

    Os grupos devem ser prefixados com o @ caractere. Os formatos aceitáveis incluem: DOMAIN\User1 user1@group1,, @DOMAIN\group1 e.

    Se você configurar as listas de Usuários e Grupos Permitidos e Negados, o Windows ACLs não concederá nenhum acesso que substitua essas listas.

    As listas de usuários e grupos permitidos e negados são avaliadas anteriormente ACLs e controlam quais usuários podem montar ou acessar o compartilhamento de arquivos. Se algum usuário ou grupo for colocado na lista Permitidos, a lista será considerada ativa e somente esses usuários poderão montar o compartilhamento de arquivos.

    Depois que um usuário montar um compartilhamento de arquivos, ACLs forneça uma proteção mais granular que controle quais arquivos ou pastas específicos o usuário pode acessar. Para obter mais informações, consulte Ativando o Windows ACLs em um novo compartilhamento de arquivos SMB.

  4. Quando terminar de adicionar as entradas, escolha Save (Salvar).