Azure 文件共享的 smb 身份验证

【问题标题】:Identity authentication over smb for Azure file shareAzure 文件共享的 smb 身份验证
【发布时间】:2020-07-28 14:38:52
【问题描述】:

我已使用访问密钥在 azure VM 上安装了一个 azure 文件共享,该 VM 未与 azure Active Directory 实例进行域连接。如果以下方案可行,请告诉我:-

  • 如果我在文件夹和子文件夹上应用 acl 在 VM 上已安装的驱动器中强制执行?
  • 如果有人尝试从 VM 上传文件,AZURE RBAC 是否适用?

注意:- Azure VM 位于可以访问 azure 活动目录的 VNET 上。 任何有关上述问题的信息/答案/建议将不胜感激。

【问题讨论】:

    标签: azure-active-directory azure-storage-files


    【解决方案1】:

    1. 域或非域帐户可以存在 ACL。拥有一台未加入域的机器,显然无法设置域 ACL。因此,在这种情况下,本地服务器 ACL 就是您希望获得的全部。 如果另一个服务器挂载了共享,并且没有另一个本地用户帐户+SID映射,那么这些ACL在第二台机器上没有任何意义。 但它们将被强制执行。 因此,尽管在实用性方面存在问题,但它仍然可以工作。

      1. RBAC 实际上是一个管理平面结构。旨在管理谁可以管理哪些 Azure 资源 --> 不能访问哪些数据平面。现在,对于 Azure 文件共享的 AD / AAD DS 支持,团队决定“扩展” RBAC 的含义,以通过 Kerberos 管理共享级 ACL(其中普通 RBAC 仅是 OAuth!) 后端足够了:这基本上意味着,不能支持本地服务器帐户。 这些帐户仅存在于本地服务器上,而不存在于 AAD 中,当然也不会从本地 AD 目录同步到 AAD。这意味着 RBAC 不能用于本地帐户,只能用于域帐户。

      2. 我不清楚你的情况是什么。

    • 使用某种本地用户凭据进入服务器的用户? 然后将文件创建/复制到该 VM 的已安装 Azure 文件共享中? --> 这可以工作,因为没有 RBAC,而且这一切都是通过具有该本地用户帐户的单个服务器发生的,因此这些本地帐户的 ACL 可以在本地工作。

    • 一个用户带着域信用进入服务器? --> 由于服务器未加入域,因此无法工作。

    • 用户使用本地服务器帐户进入,然后使用 Azure 文件共享,而不是通过 SMB 挂载,而是直接转到 Azur 文件共享:无法使用,因为它不是域帐户,非域帐户无法使用Azure 文件共享。您将使用 srtorage 访问密钥将文件共享挂载到 VM,然后您可以访问并离开身份验证。到具有本地帐户集的服务器。

    在为 Azure 文件共享启用 Azure AD over SMB 之前,请确保您已完成以下先决条件

    选择或创建 Azure AD 租户。

    您可以使用新租户或现有租户通过 SMB 进行 Azure AD 身份验证。您要访问的租户和文件共享必须与同一个订阅相关联。

    要创建新的 Azure AD 租户,您可以添加 Azure AD 租户和 Azure AD 订阅。如果您有一个现有的 Azure AD 租户,但想要创建一个新租户以用于 Azure 文件共享,请参阅Create an Azure Active Directory tenant.

    在 Azure AD 租户上启用 Azure AD 域服务。

    要支持使用 Azure AD 凭据进行身份验证,您必须为您的 Azure AD 租户启用 Azure AD 域服务。如果您不是 Azure AD 租户的管理员,请联系管理员并按照分步指导发送至Enable Azure Active Directory Domain Services using the Azure portal.

    完成 Azure AD DS 部署通常需要大约 15 分钟。在继续下一步之前,验证 Azure AD DS 的运行状况是否显示为 Running,并启用密码哈希同步。

    使用 Azure AD DS 将 Azure VM 加入域。

    若要使用来自 VM 的 Azure AD 凭据访问文件共享,您的 VM 必须加入域到 Azure AD DS。有关如何将 VM 加入域的详细信息,请参阅加入 Windows Server virtual machine to a managed domain.

    注意:仅在 Windows 7 或 Windows Server 2008 R2 以上操作系统版本上运行的 Azure VM 上支持通过 SMB 和 Azure 文件共享进行 Azure AD DS 身份验证。

    选择或创建 Azure 文件共享。

    选择与 Azure AD 租户相同的订阅关联的新文件共享或现有文件共享。有关 creating a new file share 的信息,请参阅在 Azure 文件中创建文件共享。为获得最佳性能,我们建议您的文件共享与您计划从中访问共享的 VM 位于同一区域。

    通过使用存储帐户密钥装载 Azure 文件共享来验证 Azure 文件连接。

    要验证您的 VM 和文件共享是否已正确配置,请尝试使用您的存储帐户密钥装载文件共享。如需更多信息,请参阅Mount an Azure file share and access the share in Windows.

    【讨论】:

    • 答案真的很有帮助。所有将登录到 VM 的用户都将使用 azure AD 凭据,不涉及本地帐户。因此,如果我们还没有创建 azure ad 域服务并且我的虚拟机没有加入 AAD 租户的域,然后通过 SMB 进行文件共享的天蓝色广告身份验证将不起作用,此外,如果我们通过挂载共享将 ACL 应用于文件夹和子文件夹,这些也不会强制执行?我希望我对你的回答有一个简短的总结,如果你需要我的任何澄清,请告诉我。
    猜你喜欢
    • 2019-01-26
    • 2021-12-11
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-05-22
    • 2022-11-10
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode