Configurar el protocolo NFSv4.1

En esta guía se explica cómo implementar el protocolo NFSv4.1 con una nueva instancia de Filestore.

Acerca de NFSv4.1

Filestore ofrece compatibilidad con el protocolo NFSv4.1 para las instancias creadas en los siguientes niveles de servicio:

  • Por zonas
  • Regional
  • Empresa

Esta función se puede integrar con Managed Service for Microsoft Active Directory (Managed Microsoft AD) para admitir cargas de trabajo que requieran autenticación de cliente y servidor, comprobaciones de integridad de datos de mensajes y cifrado de datos en tránsito, funciones que antes no estaban disponibles en Filestore.

La autenticación se admite mediante LDAP y Kerberos e incluye las siguientes opciones de seguridad:

  • Autenticación de cliente y servidor (krb5).
  • Comprobaciones de integridad de los mensajes (krb5i). Incluye las funciones del ajuste anterior.
  • Encriptado de datos en tránsito (krb5p). Incluye las funciones del ajuste anterior.

Managed Microsoft AD es la única solución totalmente gestionada Google Cloud que admite tanto LDAP como Kerberos, requisitos del protocolo NFSv4.1 y sus ventajas en cuanto a seguridad y privacidad. Aunque no es obligatorio integrar Managed Microsoft AD, es muy recomendable para disfrutar de una experiencia de usuario óptima al gestionar cuentas de usuario, grupos y permisos fluctuantes. Google Cloud

¿Deberías usar NFSv4.1?

Muchas empresas dependen de sistemas antiguos para llevar a cabo operaciones críticas. Muchos de estos sistemas requieren autenticación y cifrado en tránsito para su almacenamiento de archivos en red. NFSv3 no se diseñó con la autenticación en mente. La integración del protocolo NFSv4.1 de Filestore con Managed Microsoft AD ahora cumple este requisito fundamental de los usuarios.

Objetivos

En esta guía, aprenderás a completar las siguientes tareas:

Crea una instancia de Filestore que use NFSv4.1.

Si quieres usar Microsoft AD gestionado con una instancia de Filestore, el dominio de Microsoft AD gestionado debe crearse antes que la instancia de Filestore.

  1. Tanto el dominio de Managed Microsoft AD como la instancia de Filestore deben usar la misma VPC en el mismo proyecto.

    Si tu servicio Managed Microsoft AD está alojado en un proyecto independiente de la instancia de Filestore que quieres usar, la red VPC de Filestore debe estar emparejada con el dominio de Managed Microsoft AD.

    Para obtener más información, consulta Implementar Managed Microsoft AD con acceso entre proyectos mediante el emparejamiento de dominios.

  2. Completa todos los pasos de configuración para crear una instancia de Filestore.

  3. Asegúrate de que los usuarios de Microsoft AD gestionado tengan los campos POSIX RFC 2307 y RFC 2307bis rellenos, como se muestra a continuación.

    Para obtener más información sobre cómo configurar objetos en Managed Microsoft AD, consulta Objetos de Managed Active Directory.

    Usuarios y equipos de Active Directory

    En los siguientes pasos se describen los atributos que debe definir para los usuarios y grupos de LDAP. Puedes gestionar los atributos POSIX mediante el complemento MMC Usuarios y equipos de Active Directory.

    Abre el Editor de atributos de la siguiente manera:

    1. Haz clic en Empezar.

    2. Haz clic en Herramientas administrativas de Windows y selecciona Usuarios y equipos de Active Directory.

      Se abre la ventana Usuarios y equipos de Active Directory.

    3. Selecciona el nombre de dominio que quieras ver. Para desplegar su contenido, haz clic en la flecha de expansión.

    4. En el menú Ver de Usuarios y equipos de Active Directory, selecciona Funciones avanzadas.

    5. En el panel de la izquierda, haga doble clic en Usuarios.

    6. En la lista de usuarios, haz doble clic en un usuario para ver la pestaña Editor de atributos.

      Los usuarios de LDAP deben tener definidos los siguientes atributos:

      • uid
      • uidNumber
      • cn
      • gidNumber
      • objectClass

      Cada usuario debe tener un uidNumber único. Tenga en cuenta que el valor del atributo uid distingue entre mayúsculas y minúsculas. En el caso del atributo objectClass, user es el ajuste predeterminado en la mayoría de las implementaciones de Active Directory (AD). A continuación, se muestra un ejemplo:

      uid: Alice
uidNumber: 139
gidNumber: 555
objectClass: user

      Los grupos de LDAP deben tener definidos los siguientes atributos:

      • cn
      • gidNumber
      • objectClass

      Cada grupo debe tener un gidNumber único. Tenga en cuenta que el valor del atributo cn distingue entre mayúsculas y minúsculas. En el caso del atributo objectClass, group es el ajuste predeterminado en la mayoría de las implementaciones de AD. A continuación, se muestra un ejemplo:

      cn: AliceGroup
gidNumber: 555
objectClass: group

  4. Concede acceso a Filestore para crear y gestionar objetos en Managed Microsoft AD con el comando gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding MANAGED_MICROSOFT_AD_PROJECT_ID \
--member=serviceAccount:service-$(gcloud projects describe PROJECT_ID \
--format='value(projectNumber)')@cloud-filer.iam.gserviceaccount.com \
--role=roles/managedidentities.filestoreintegrator

    Haz los cambios siguientes:

    • MANAGED_MICROSOFT_AD_PROJECT_ID es el ID del proyecto en el que se encuentra el dominio de Microsoft AD gestionado.
    • PROJECT_ID es el ID del proyecto en el que se encuentra la instancia de Filestore.

    Es posible que veas un error similar al siguiente:

    INVALID_ARGUMENT: Service account service-123456789012@cloud-filer.iam.gserviceaccount.com does not exist.

    Si es así, usa el siguiente comando para resolverlo:

    gcloud beta services identity create --service=file.googleapis.com --project \ MANAGED_MICROSOFT_AD_PROJECT_ID

Crear una instancia de Filestore con o sin Microsoft AD gestionado

Crea una instancia de Filestore que use el protocolo NFSv4.1 con Microsoft AD gestionado. Se incluyen pasos opcionales para los usuarios que decidan no usar Managed Microsoft AD.

Antes de empezar

Antes de crear una instancia de Filestore, asegúrate de que tienes suficiente cuota. Los intervalos de cuota de instancias varían en función de la ubicación de la región y del nivel de servicio que quieras usar. Para aumentar la cuota disponible, debes enviar una solicitud de aumento de cuota.

Crear una instancia de Filestore con Microsoft AD gestionado

Google Cloud consola

Configurar los parámetros de la instancia

  1. En la consola, ve a la página de instancias de Filestore. Google Cloud

    Ve a la página Instancias de Filestore.

  2. Haz clic en Crear instancia.

  3. Especifica los parámetros básicos de la instancia:

    1. En el campo ID de instancia, introduce el nombre que quieras usar para la instancia de Filestore.

    2. En Tipo de instancia, selecciona Regional o Zonal.

      Para crear una instancia de Enterprise, debes ejecutar operaciones directamente a través de la API de Filestore.

    3. En Capacidad asignada, introduce la capacidad que quieras usar. Debes introducir un valor entre 1 y 10 TB, en incrementos de 256 GiB (0,25 TiB).

    4. En Región, selecciona la región que quieras usar.

    5. En Red de VPC, selecciona la red que quieras usar para la instancia de Filestore y los clientes NFS.

      • Si el servicio gestionado de Microsoft AD está en el mismo proyecto que la instancia de Filestore, la red VPC debe autorizarse en el dominio del servicio gestionado de Microsoft AD.
      • Si Managed Microsoft AD está en un proyecto independiente, la red de VPC debe configurarse con el emparejamiento de redes de Active Directory en la configuración de Managed Microsoft AD.

    6. En Intervalo de direcciones IP asignado, selecciona Usar un intervalo de direcciones IP asignado automáticamente (opción recomendada).

    7. En Protocol (Protocolo), selecciona NFSv4.1.

Configurar los ajustes de autenticación de la instancia

  1. Configura los ajustes de autenticación de la instancia.
    1. Haz clic en Autenticación.
    2. Selecciona el proyecto que aloja Managed Microsoft AD. En esta guía, vamos a suponer que el proyecto actual es el que queremos usar. En la lista Unir a un dominio de Active Directory, selecciona el dominio de Microsoft AD gestionado que quieras usar.
    3. En el campo Nombre de cuenta de ordenador, introduce el nombre de la cuenta de ordenador que quieras usar para identificar la instancia de Filestore en el dominio de Microsoft AD gestionado. El nombre no puede tener más de 15 caracteres alfanuméricos.
    4. En el campo Nombre del recurso compartido de archivos, introduce el nombre del recurso compartido tal como lo usarán los clientes de NFSv4.1.

  2. En el panel Control de acceso, sigue uno de estos pasos:

    • Si usas Microsoft AD gestionado, selecciona Restringir acceso por intervalo o dirección IP.

      1. Define la regla de acceso por IP o subred que quieras. Para los fines de esta guía, utiliza los siguientes ajustes:
      2. En el campo Dirección o intervalo de direcciones IP 1, introduce la dirección o el intervalo de direcciones IP que quieras usar.
      3. Haz clic en la lista desplegable Acceso 1 y selecciona Administrador. Haz clic en la lista desplegable Montarsec= 1 y selecciona la casilla sys.

      El propietario predeterminado de Filestore / es root. Para permitir que otros usuarios y grupos accedan a la instancia, debes crear una regla de acceso que permita el acceso a la VM de gestión mediante el rol Admin y el ajuste de seguridad sec=sys.

    • Si no usas el servicio gestionado de Microsoft AD, selecciona Conceder acceso a todos los clientes de la red VPC.

      Si no se usa Microsoft AD gestionado, el único ajuste de seguridad admitido es sec=sys.

  3. Haz clic en Crear para que se genere la instancia.

gcloud

  1. Instala e inicializa gcloud CLI.

    Si ya tienes instalada la CLI de gcloud, ejecuta el siguiente comando para actualizarla:

    gcloud components update

  2. Ejecuta el comando gcloud beta filestore instances create para crear una instancia zonal, regional o Enterprise de Filestore:

       gcloud beta filestore instances create INSTANCE-ID \
   --description="DESCRIPTION" \
   --region=LOCATION \
   --tier=TIER \
   --protocol=PROTOCOL \
   --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
   --network=name="VPC_NETWORK",connect-mode=CONNECT_MODE,reserved-ip-range="RESERVED_IP_RANGE" \
   --managed-ad=domain=projects/MANAGED_AD_PROJECT_ID/locations/global/domains/MANAGED_AD_DOMAIN_NAME,computer=DOMAIN_COMPUTER_ACCOUNT \
   --project=CONSUMER_PROJECT_ID

    Donde:

    • INSTANCE_ID es el ID de instancia de la instancia de Filestore que quieres crear. Consulta Asignar un nombre a la instancia.
    • DESCRIPTION es la descripción de la instancia que quieres usar.
    • LOCATION es la ubicación en la que quieres que se encuentre la instancia de Filestore.
    • TIER es el nivel de servicio que quieres usar.
    • PROTOCOL es NFS_v4_1.
    • FILE_SHARE_NAME es el nombre que especifiques para el recurso compartido de archivos NFS que se sirve desde la instancia.
    • CAPACITY es el tamaño que quieres asignar al recurso compartido de archivos, entre 1 y 10 TiB.

    • VPC_NETWORK es el nombre de la red de VPC que quieres que use la instancia. Consulta Seleccionar la red de VPC.

      • Si quieres especificar una VPC compartida de un proyecto de servicio, debes indicar el nombre de red completo, que tiene el siguiente formato: 
      projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

      Especifica connect-mode=PRIVATE_SERVICE_ACCESS, similar a lo siguiente:

      --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    • MANAGED_AD_PROJECT_ID es el ID del proyecto en el que se encuentra el servicio gestionado de Microsoft AD.

    • MANAGED_AD_DOMAIN_NAME es el nombre de dominio del servicio Managed Microsoft AD que quieres usar. Elige este nombre de dominio al crear un dominio de Microsoft AD gestionado.

    • DOMAIN_COMPUTER_ACCOUNT es el nombre que quieras que tenga el clúster en el dominio.

    • CONSUMER_PROJECT_ID es el ID del proyecto que contiene la instancia de Filestore.

    • CONNECT_MODE es DIRECT_PEERING o PRIVATE_SERVICE_ACCESS. Si especificas una VPC compartida como red, también debes especificar PRIVATE_SERVICE_ACCESS como modo de conexión. Esta marca es obligatoria para el emparejamiento de redes VPC, que es un requisito cuando se usa el servicio gestionado de Microsoft AD.

    • RESERVED_IP_RANGE es el intervalo de direcciones IP de la instancia de Filestore. Si especificas connect-mode=PRIVATE_SERVICE_ACCESS y quieres usar un intervalo de direcciones IP reservado, debes indicar el nombre de un intervalo de direcciones asignado en lugar de un intervalo CIDR. Consulta Configurar una dirección IP reservada. Te recomendamos que omitas esta marca para que Filestore busque automáticamente un intervalo de direcciones IP libres y lo asigne a la instancia.

Crear una instancia de Filestore sin Microsoft AD gestionado

gcloud

Si no quieres usar Microsoft AD gestionado, ejecuta el mismo comando gcloud beta filestore instances create que en la guía para crear una instancia de Filestore con Microsoft AD gestionado para crear una instancia de Filestore.

    gcloud beta filestore instances create INSTANCE_ID \
    --description="DESCRIPTION" \
    --region=LOCATION \
    --tier=TIER \
    --protocol=PROTOCOL \
    --file-share=name="FILE_SHARE_NAME",capacity=CAPACITYTB \
    --network=name="VPC_NETWORK" \
    --project=CONSUMER_PROJECT_ID

En tu configuración, omite la marca --managed-ad y las marcas de emparejamiento entre redes de VPC, es decir, connect-mode y reserved-ip-range.

Información sobre las listas de control de acceso (LCAs) basadas en redes en NFSv4.1.

En NFSv3, solo se admite el tipo de seguridad sys. Este ajuste confía en el usuario uid y gid proporcionados por el cliente durante el montaje.

En el protocolo NFSv4.1 de Filestore, hay disponibles varios tipos o ajustes de seguridad de ACL de red:

  • krb5

    Autentica al cliente mediante un ticket de Kerberos, que se valida en el servidor de Kerberos de Microsoft AD gestionado.

  • krb5i

    Incluye la autenticación proporcionada por krb5 y también usa Kerberos para ejecutar comprobaciones de integridad de mensajes en todo el tráfico de red hacia y desde la instancia.

  • krb5p

    Incluye la autenticación proporcionada por krb5 y las comprobaciones de integridad de los mensajes de krb5i. También usa Kerberos para cifrar los datos en tránsito.

Si quieres aprovechar estas opciones, debes integrar el servicio gestionado de Microsoft Active Directory.

Si no se especifica un dominio de Servicio gestionado para Microsoft Active Directory, solo se admite el tipo de seguridad sys.

Para obtener más información, consulta Limitaciones de NFSv4.1.

Montar instancias de Filestore NFSv4.1 en clientes Linux

En los siguientes pasos se muestra cómo montar instancias en clientes Linux.

  • Monta con sec=sys para obtener permisos NFS estándar:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Monta con sec=krb5 para la autenticación basada en Kerberos:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Monta con sec=krb5i para la autenticación basada en Kerberos y las comprobaciones de integridad de los mensajes:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Monta con sec=krb5p para la autenticación basada en Kerberos, las comprobaciones de integridad y el cifrado en tránsito:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQ
DN:/INSTANCE_SHARE_POINT /MOUNT_POINT

    Haz los cambios siguientes:

    • FILESTORE-INSTANCE-FQDN es el nombre de dominio completo en el que se encuentra la instancia de Filestore.
    • INSTANCE_SHARE_POINT es el nombre de recurso compartido de archivos de la instancia de Filestore a la que quieres conectarte.
    • MOUNT_POINT es el punto de montaje o el nombre del directorio en el que quieres montar.

Configuración del cliente Linux

Una instancia de Filestore NFSv4.1 permite a los clientes realizar operaciones de NFS con varios tipos de seguridad. El administrador de la instancia configura estas variantes mediante las ACLs de red en la instancia de Filestore NFSv4.1 durante la creación o si se actualizan después de la creación.

El tipo de seguridad sys usa la autenticación estándar de Unix, mientras que los tipos krb5, krb5i y krb5p usan la autenticación basada en Kerberos.

Las versiones krb5, krb5i y krb5p requieren que los clientes estén conectados al mismo dominio de Microsoft AD gestionado que la instancia de Filestore. Sigue los pasos que correspondan a tu entorno.

Imagen de Ubuntu

  1. Conéctate por SSH a la instancia de Compute Engine.

  2. Ejecuta los siguientes comandos para unirte al dominio de Microsoft AD gestionado.

    1. Ejecuta el siguiente comando de configuración:

      sudo apt-get update \
sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry

    2. Cuando se te pida el realm, sustituye la entrada por el dominio de Microsoft AD gestionado que se usa en la instancia de Filestore. Introduce el valor en mayúsculas y, a continuación, pulsa la tecla de flecha para seleccionar Aceptar y, después, Intro.

    3. Cuando se te pidan hosts, déjalo vacío y continúa.

    4. Sigue uno de estos pasos:

      • En las máquinas virtuales con una longitud de nombre de host igual o inferior a 15 caracteres, ejecuta el siguiente comando:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

        Haz los cambios siguientes:

        • JOIN_DOMAIN_USER es el nombre de la cuenta de usuario que se usa para unirse al dominio.
        • MANAGED_AD_DOMAIN_NAME es el nombre de dominio del servicio Managed Microsoft AD que quieres usar.

      • En las VMs con un nombre de host de más de 15 caracteres, ejecuta el siguiente comando:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

        Haz los cambios siguientes:

        • JOIN_DOMAIN_USER es el nombre de la cuenta de usuario que se usa para unirse al dominio.
        • MANAGED_AD_REALM_NAME es el nombre del reino del servicio gestionado de Microsoft AD que quieres usar.
        • MANAGED_AD_DOMAIN_NAME es el nombre de dominio del servicio Managed Microsoft AD que quieres usar.

  3. Actualiza la configuración de Kerberos. Actualiza /etc/krb5.conf con la definición de realm y la asignación de realm a dominio necesarias:

     [realms]
          DOMAIN_NAME = {
                   kdc = DOMAIN_NAME
                   default_domain = DOMAIN_NAME
          }
 [domain_realm]
          .domain_name_lowercase = DOMAIN_NAME
          domain_name_lowercase = DOMAIN_NAME

    Haz los cambios siguientes:

    • DOMAIN_NAME es el nombre de dominio que quieres usar, escrito en mayúsculas.
    • domain_name_lowercase es el nombre de dominio que quieres usar, escrito en minúsculas.

    Consulta el siguiente ejemplo:

    [realms]
       FILE.DEMO.LOCAL = {
                kdc = FILE.DEMO.LOCAL
                default_domain = FILE.DEMO.LOCAL
       }

[domain_realm]
       .file.demo.local = FILE.DEMO.LOCAL
       file.demo.local = FILE.DEMO.LOCAL

  4. Ejecuta el servicio rpc-gssd. Añade el siguiente No-Stripvalor de atributo a la sección [General] dentro de /etc/idmapd.conf:

     [General]
 No-Strip = both

  5. Ejecuta el siguiente comando:

    sudo systemctl restart rpc-gssd

Imagen de Centos

  1. Conéctate a la instancia de Compute Engine mediante SSH.

  2. Únete al dominio de Microsoft AD gestionado:

    sudo yum update \
sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients

  3. Sigue uno de estos pasos:

    • En las VMs con una longitud de nombre de host igual o inferior a 15 caracteres, ejecuta el siguiente comando:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

      Haz los cambios siguientes:

      • JOIN_DOMAIN_USER es el nombre de la cuenta de usuario que se usa para unirse al dominio.
      • MANAGED_AD_DOMAIN_NAME es el nombre de dominio del servicio Managed Microsoft AD que quieres usar.

    • En las VMs con un nombre de host de más de 15 caracteres, ejecuta el siguiente comando:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

      Haz los cambios siguientes:

      • JOIN_DOMAIN_USER es el nombre de la cuenta de usuario que se usa para unirse al dominio.
      • MANAGED_AD_REALM_NAME es el nombre del dominio del servicio Managed Microsoft AD que quieres usar.
      • MANAGED_AD_DOMAIN_NAME es el nombre de dominio del servicio Managed Microsoft AD que quieres usar.

  4. Asegúrate de que el servicio sssd se está ejecutando:

    sudo systemctl status sssd

  5. Ejecuta el servicio rpc-gssd. Añada lo siguiente debajo del atributo No-Strip value a la sección [General] de /etc/idmapd.conf:

    [General]
No-Strip = both

  6. Ejecuta el siguiente comando: Este comando ayuda a asegurarse de que el cliente NFS no elimine el nombre de dominio del nombre de host del servidor NFS. Para obtener más información, consulta los archivos de la lista de NFS Ganesha y el archivo de Arch Linux:

    sudo systemctl start rpc-gssd

Desconectar y volver a conectar una instancia de Filestore a Managed Microsoft AD

Google Cloud consola

Desconectar un servicio de Microsoft AD gestionado de una instancia de Filestore

  1. Desconecta una instancia de Filestore conectada a Microsoft AD gestionado.

    En la Google Cloud consola, ve a la página Instancias de Filestore.

    Ve a la página Instancias de Filestore.

  2. Haga clic en el ID de instancia de la instancia que quiera editar.

  3. En el panel Punto de montaje de NFS, en Protocolo, junto a Nombre del servicio de directorio, haz clic en Desconectar dominio de AD.

  4. En la ventana No se ha podido desconectar del dominio, lea la alerta y, a continuación, haga clic en Editar instancia.

    Al menos una regla de Control de acceso debe asignarse al rol de administrador con el ajuste de seguridad de montaje sys, como Access=Admin Mount y sec=sys.

  5. En el panel Editar uso compartido, busca la regla en la que Acceso esté definido como Administrador. Haz clic en Montar sec= ... y selecciona sys para añadir esa opción al ajuste actual.

  6. Haz clic en Aceptar.

  7. Haz clic en Guardar.

  8. Junto a Nombre del servicio de directorio, haz clic en Desconectar dominio de AD.

  9. En el campo de la ventana ¿Desconectar del dominio?, introduce el nombre del dominio del que quieras desconectarte.

  10. Haz clic en Desconectar.

Editar las reglas de acceso

  1. Actualiza la página. Ten en cuenta que el nombre del servicio de directorio ahora es Ninguno.

  2. Haz clic en Editar.

  3. En el panel Editar uso compartido, busca cualquier regla que defina el acceso para un rol que no sea Administrador, como Editor. En la regla, haz clic en Montar sec= ... y selecciona sys para añadirlo a la configuración actual. Haz clic en Aceptar.

  4. Haz clic en Guardar.

  5. Actualiza la página.

    Se actualiza la configuración de la regla.

Volver a conectar un Microsoft AD gestionado a una instancia de Filestore

  1. Vuelve a conectar una instancia de Filestore a Microsoft AD gestionado.

    En el panel Punto de montaje de NFS, en Protocolo, junto a Nombre del servicio de directorio, haz clic en Unir al dominio de AD.

  2. En la ventana Unir esta instancia a un dominio de Active Directory, selecciona Usar dominios del proyecto actual. En el menú Unir a un dominio de Active Directory, selecciona el dominio que quieras usar.

  3. En el menú Nombre de cuenta de ordenador, introduce un nombre.

  4. Haz clic en Unirme al dominio.

  5. Actualiza la página. Ten en cuenta que el nombre del servicio de directorio se ha actualizado con tu selección.

  6. Haz clic en Editar.

  7. En el panel Editar uso compartido, haz clic en Montar sec= ... en todas las reglas aplicables y quita la selección sys. Haz clic en Aceptar.

  8. Haz clic en Guardar.

  9. Actualiza la página.

    Se actualiza la configuración de la regla.-

Siguientes pasos