使用活动目录对用户进行身份验证 - AWS Storage Gatewa

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用活动目录对用户进行身份验证

要使用您的企业活动目录或 AWS Managed Microsoft AD 让用户通过身份验证访问您的 SMB 文件共享,请使用您的 Microsoft AD 域凭据编辑网关的 SMB 设置。这样做可以使网关加入 Active Directory 域并允许该域的成员访问 SMB 文件共享。

注意

使用 AWS Directory Service,您可以在中创建托管的 Active Directory 域服务 AWS Cloud。

要使用亚马逊 EC2 网关,您必须在 AWS Managed Microsoft AD 与相同的 VPC 中创建亚马逊 EC2 实例 AWS Managed Microsoft AD,将 _workspaceMembers 安全组添加到亚马逊 EC2 实例,然后使用中的管理员凭证加入 AD 域。 AWS Managed Microsoft AD

有关的更多信息 AWS Managed Microsoft AD,请参阅《AWS Directory Service 管理指南》

有关亚马逊的更多信息 EC2,请参阅亚马逊弹性计算云文档

您也可以在 SMB 文件共享上激活访问控制列表 (ACLs)。有关如何激活的信息 ACLs,请参阅使用 Windows ACLs 限制 SMB 文件共享访问权限

开启活动目录身份验证

  1. https://console.aws.amazon.com/storagegateway/家中打开 Storage Gateway 控制台。

  2. 选择网关,然后选择要为其编辑 SMB 设置的网关。

  3. 操作下拉菜单中,选择编辑 SMB 设置,然后选择活动目录设置

  4. 在 “域名” 中,输入您希望网关加入的 Active Directory 域的名称。

    注意

    当网关从未加入域时,Active Directory status (Active Directory 状态) 显示 Detached (已分离)

    您的 Active Directory 服务帐户必须具有必要的权限。有关更多信息,请参阅 A ctive Directory 服务帐户权限要求

    加入域会在默认计算机容器(不是 OU)中创建一个 Active Directory 计算机帐户,使用网关的网关 ID 作为帐户名(例如,SGW-1234ADE)。无法自定义此账户的名称。

    如果您的 Active Directory 环境要求您预先设置账户以简化加入域的流程,则需要提前创建此帐户。

    如果您的 Active Directory 环境为新的计算机对象指定了 OU,则在加入域时必须指定该 OU。

    如果您的网关无法加入 Active Directory 目录,请尝试使用 JoinDomainAPI 操作使用该目录的 IP 地址加入。

  5. 域用户域密码中,输入网关用于加入域的 Active Directory 服务帐户的凭据。

  6. (可选)对于组织单位 (OU),输入您的 Active Directory 用于新计算机对象的指定 OU。

  7. (可选)对于域控制器 (DC),输入您的网关将 DCs 通过其连接到 Active Directory 的一个或多个控制器的名称。您可以输入多个 DCs 以逗号分隔的列表。您可以将此字段留空以允许 DNS 自动选择 DC。

  8. 选择保存更改

将文件共享访问权限限制到特定 AD 用户和组

  1. 在 Storage Gateway 控制台中,选择要限制访问的文件共享。

  2. 从 “操作” 下拉菜单中,选择 “编辑文件共享访问设置”

  3. 在 “用户和群组文件共享访问权限” 部分,选择您的设置。

    对于 “允许的用户和群组”,选择 “添加允许的用户” 或 “添加允许的群组”,然后输入要允许文件共享访问权限的 AD 用户或群组。重复此过程以允许任意数量的用户和群组。

    对于被拒绝的用户和群组,选择添加被拒绝的用户添加被拒绝的群组,然后输入要拒绝文件共享访问权限的 AD 用户或群组。重复此过程,根据需要拒绝尽可能多的用户和群组。

    注意

    只有在选择 A ctiv e Directory 时,用户和群组文件共享访问权限部分才会出现。

    组必须以@字符为前缀。可接受的格式包括:DOMAIN\User1user1@group1、和@DOMAIN\group1

    如果您配置了允许和拒绝的用户和组列表,则 Windows ACLs 将不会授予覆盖这些列表的任何访问权限。

    之前会评估允许和拒绝的用户和组列表 ACLs,并控制哪些用户可以装载或访问文件共享。如果有任何用户或组被置于 “允许” 列表中,则该列表将被视为处于活动状态,只有这些用户才能挂载文件共享。

    用户挂载文件共享 ACLs 后,请提供更精细的保护,控制用户可以访问哪些特定文件或文件夹。有关更多信息,请参阅在新的 SMB 文件共享 ACLs 上激活 Windows

  4. 完成添加条目后,选择保存