本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Active Directory 验证用户
要使用企业 Active Directory 对 SMB 文件共享进行经过身份验证的访问,请使用 Microsoft AD 域凭证编辑网关的 SMB 设置。这样做可以使网关加入 Active Directory 域并允许该域的成员访问 SMB 文件共享。
注意
使用Amazon Directory Service创建托管的 Active Directory 域服务Amazon Web Services 云.
可以提供正确密码的任何人都将获得对 SMB 文件共享的来宾访问权限。
您也可以在 SMB 文件共享上启用访问控制列表 (ACL)。有关如何启用 ACL 的信息,请参阅使用 Microsoft Windows ACL 控制对 SMB 文件共享的访问。
启用 Active Directory 身份验证
打开 Storage Gateway 控制台https://console.aws.amazon.com/storagegateway/home
. -
选择网关选择,然后选择要编辑 SMB 设置的网关。
-
来自操作下拉菜单中,选择编辑 SMB 设置,然后选择Active Directory 设置.
-
对于域名,提供您希望网关加入的域。您可以通过使用域的 IP 地址或其组织单位加入域。组织单位 是 Active Directory 细分,可以包含用户、组、计算机和其他组织单位。
注意
如果您的网关无法加入 Active Directory 目录,请尝试通过 JoinDomain API 操作使用目录的 IP 地址加入。
注意
当网关从未加入域时,Active Directory status (Active Directory 状态) 显示 Detached (已分离)。
-
提供域用户名和域密码,然后选择保存。
您的控制台的网关部分顶部的消息指示您的网关已成功加入您的 AD 域。
将文件共享访问权限限制到特定 AD 用户和组
-
在 Storage Gateway 控制台中,选择要限制访问的文件共享。
-
来自操作下拉菜单中,选择编辑文件共享访问设置.
-
在用户和组文件共享访问权限部分中,选择您的设置。
适用于允许的用户和组,选择添加允许的用户要么添加允许的组并输入要允许文件共享访问的 AD 用户或组。重复此过程可根据需要允许尽可能多的用户和组。
适用于被拒绝的用户和组,选择添加拒绝的用户要么添加拒绝组并输入要拒绝文件共享访问的 AD 用户或组。重复此过程可根据需要拒绝尽可能多的用户和组。
注意
这些区域有:用户和组文件共享访问权限仅在以下情况下才会Active Directory已选择。
仅输入 AD 用户或组名称。域名由网关加入的特定 AD 中的网关成员资格表示。
如果您未指定任何允许或拒绝的用户或组,任何经过身份验证的 AD 用户都可以导出文件共享。
-
完成添加条目后,选择保存。