用于 Azure 文件共享的 smb 身份验证
Identity authentication over smb for Azure file share
我已经使用访问密钥在 azure VM 上安装了 azure 文件共享,该 VM 未与 azure 活动目录进行域连接 instance.Please 让我知道以下情况是否可行:-
- 如果我在文件夹和子文件夹上应用 acl,acl 将是
在 VM 上安装的驱动器中强制执行?
- 如果有人尝试从 VM 上传文件,AZURE RBAC 是否适用?
注意:- Azure VM 位于可以访问 azure 活动目录的 VNET 上。
任何关于上述问题的 information/answer/suggestion 将不胜感激。
域或 non-domain 帐户可以存在 ACL。拥有一台未加入域的机器,显然无法设置域 ACL。所以在那种情况下,local-server ACL 就是你所希望得到的。
如果另一台服务器安装共享,并且没有另一个本地用户帐户 + SID 映射,那么这些 ACL 在第二台机器上没有任何意义。 但它们会被强制执行。
因此,尽管在实用性方面存在疑问,但它仍然可以工作。
RBAC 确实是一个管理平面结构。旨在控制谁可以管理哪些 Azure 资源 --> 不能访问哪些数据平面。现在,在 AD / AAD DS 支持 Azure 文件共享的情况下,团队决定“扩展”RBAC 的含义以通过 Kerberos 管理 share-level ACL(其中普通 RBAC 仅是 OAuth!)
后端够了:这基本上意味着,不能支持本地服务器帐户。
这些帐户仅存在于本地服务器上,不存在于 AAD 中,当然也不是从 on-prem AD 到 AAD 的 DIRSYNC。所以这意味着 RBAC 不能用于本地帐户,只能用于域帐户。
我不清楚你的场景是什么。
用户使用某种本地用户凭据进入服务器?
然后 creating/copying 一个文件到该 VM 的已装载 Azure 文件共享中? --> 这可以工作,因为没有 RBAC,并且由于这一切都是通过具有该本地用户帐户的单个服务器发生的,因此这些本地帐户的 ACL 本机工作。
用户使用域信用进入服务器? --> 将无法工作,因为服务器未加入域。
用户使用 local-server 帐户进入,然后使用 Azure 文件共享而不是通过 SMB 安装,而是直接转到 Azur 文件共享:无法工作,因为它不是域帐户和 non-dimain 帐户不能用于 Azure 文件共享。您将使用 srtorage 访问密钥将文件共享装载到 VM,然后您可以访问并离开 auth。使用本地帐户集发送到服务器。
在为 Azure 文件共享启用 Azure AD over SMB 之前,请确保您已完成以下先决条件:
Select 或创建 Azure AD 租户。
您可以使用新租户或现有租户通过 SMB 进行 Azure AD 身份验证。您要访问的租户和文件共享必须与同一订阅相关联。
要创建新的 Azure AD 租户,您可以添加 Azure AD 租户和 Azure AD 订阅。如果你有一个现有的 Azure AD 租户但想创建一个新租户以用于 Azure 文件共享,请参阅 Create an Azure Active Directory tenant.
在 Azure AD 租户上启用 Azure AD 域服务。
要支持使用 Azure AD 凭据进行身份验证,您必须为您的 Azure AD 租户启用 Azure AD 域服务。如果您不是 Azure AD 租户的管理员,请联系管理员并按照 step-by-step 指南 Enable Azure Active Directory Domain Services using the Azure portal.
完成 Azure AD DS 部署通常需要大约 15 分钟。在继续下一步之前,验证 Azure AD DS 的健康状态显示 运行,并启用密码哈希同步。
Domain-join 带有 Azure AD DS 的 Azure VM。
要使用 VM 的 Azure AD 凭据访问文件共享,您的 VM 必须 domain-joined 到 Azure AD DS。有关如何 domain-join VM 的详细信息,请参阅加入 Windows Server virtual machine to a managed domain.
注意:仅在 Azure VM 运行 OS 以上版本 Windows 7 或 Windows 服务器 2008 R2。
Select 或创建 Azure 文件共享。
Select 与您的 Azure AD 租户相同的订阅相关联的新文件共享或现有文件共享。有关 creating a new file share 的信息,请参阅在 Azure 文件中创建文件共享。为获得最佳性能,我们建议您的文件共享与您计划从中访问共享的 VM 位于同一区域。
通过使用存储帐户密钥安装 Azure 文件共享来验证 Azure 文件连接。
要验证您的 VM 和文件共享是否已正确配置,请尝试使用您的存储帐户密钥装载文件共享。有关详细信息,请参阅 Mount an Azure file share and access the share in Windows.
我已经使用访问密钥在 azure VM 上安装了 azure 文件共享,该 VM 未与 azure 活动目录进行域连接 instance.Please 让我知道以下情况是否可行:-
- 如果我在文件夹和子文件夹上应用 acl,acl 将是 在 VM 上安装的驱动器中强制执行?
- 如果有人尝试从 VM 上传文件,AZURE RBAC 是否适用?
注意:- Azure VM 位于可以访问 azure 活动目录的 VNET 上。 任何关于上述问题的 information/answer/suggestion 将不胜感激。
域或 non-domain 帐户可以存在 ACL。拥有一台未加入域的机器,显然无法设置域 ACL。所以在那种情况下,local-server ACL 就是你所希望得到的。 如果另一台服务器安装共享,并且没有另一个本地用户帐户 + SID 映射,那么这些 ACL 在第二台机器上没有任何意义。 但它们会被强制执行。 因此,尽管在实用性方面存在疑问,但它仍然可以工作。
RBAC 确实是一个管理平面结构。旨在控制谁可以管理哪些 Azure 资源 --> 不能访问哪些数据平面。现在,在 AD / AAD DS 支持 Azure 文件共享的情况下,团队决定“扩展”RBAC 的含义以通过 Kerberos 管理 share-level ACL(其中普通 RBAC 仅是 OAuth!) 后端够了:这基本上意味着,不能支持本地服务器帐户。 这些帐户仅存在于本地服务器上,不存在于 AAD 中,当然也不是从 on-prem AD 到 AAD 的 DIRSYNC。所以这意味着 RBAC 不能用于本地帐户,只能用于域帐户。
我不清楚你的场景是什么。
用户使用某种本地用户凭据进入服务器? 然后 creating/copying 一个文件到该 VM 的已装载 Azure 文件共享中? --> 这可以工作,因为没有 RBAC,并且由于这一切都是通过具有该本地用户帐户的单个服务器发生的,因此这些本地帐户的 ACL 本机工作。
用户使用域信用进入服务器? --> 将无法工作,因为服务器未加入域。
用户使用 local-server 帐户进入,然后使用 Azure 文件共享而不是通过 SMB 安装,而是直接转到 Azur 文件共享:无法工作,因为它不是域帐户和 non-dimain 帐户不能用于 Azure 文件共享。您将使用 srtorage 访问密钥将文件共享装载到 VM,然后您可以访问并离开 auth。使用本地帐户集发送到服务器。
在为 Azure 文件共享启用 Azure AD over SMB 之前,请确保您已完成以下先决条件:
Select 或创建 Azure AD 租户。
您可以使用新租户或现有租户通过 SMB 进行 Azure AD 身份验证。您要访问的租户和文件共享必须与同一订阅相关联。
要创建新的 Azure AD 租户,您可以添加 Azure AD 租户和 Azure AD 订阅。如果你有一个现有的 Azure AD 租户但想创建一个新租户以用于 Azure 文件共享,请参阅 Create an Azure Active Directory tenant.
在 Azure AD 租户上启用 Azure AD 域服务。
要支持使用 Azure AD 凭据进行身份验证,您必须为您的 Azure AD 租户启用 Azure AD 域服务。如果您不是 Azure AD 租户的管理员,请联系管理员并按照 step-by-step 指南 Enable Azure Active Directory Domain Services using the Azure portal.
完成 Azure AD DS 部署通常需要大约 15 分钟。在继续下一步之前,验证 Azure AD DS 的健康状态显示 运行,并启用密码哈希同步。
Domain-join 带有 Azure AD DS 的 Azure VM。
要使用 VM 的 Azure AD 凭据访问文件共享,您的 VM 必须 domain-joined 到 Azure AD DS。有关如何 domain-join VM 的详细信息,请参阅加入 Windows Server virtual machine to a managed domain.
注意:仅在 Azure VM 运行 OS 以上版本 Windows 7 或 Windows 服务器 2008 R2。
Select 或创建 Azure 文件共享。
Select 与您的 Azure AD 租户相同的订阅相关联的新文件共享或现有文件共享。有关 creating a new file share 的信息,请参阅在 Azure 文件中创建文件共享。为获得最佳性能,我们建议您的文件共享与您计划从中访问共享的 VM 位于同一区域。
通过使用存储帐户密钥安装 Azure 文件共享来验证 Azure 文件连接。
要验证您的 VM 和文件共享是否已正确配置,请尝试使用您的存储帐户密钥装载文件共享。有关详细信息,请参阅 Mount an Azure file share and access the share in Windows.