Aktivieren der Active Directory-Authentifizierung über SMB für Linux-Clients, die auf Azure Files zugreifen
Weitere Informationen zu den unterstützten Optionen und Überlegungen finden Sie unter Übersicht über die Optionen der identitätsbasierten Authentifizierung für den SMB-Zugriff in Azure Files.
Azure Files unterstützt die identitätsbasierte Authentifizierung über Server Message Block (SMB) für virtuelle Linux-Computer (Linux-VMs) mithilfe des Kerberos-Authentifizierungsprotokolls mit den folgenden Methoden:
- Lokale Windows Active Directory Domain Services (AD DS)
- Microsoft Entra Domain Services
Wenn Sie AD DS verwenden möchten, müssen Sie Ihre AD DS-Instanz mithilfe von Microsoft Entra Connect mit Microsoft Entra ID synchronisieren.
Hinweis
In diesem Artikel wird Ubuntu für die Beispielschritte verwendet. Ähnliche Konfigurationen funktionieren bei RHEL- und SLES-Computern, sodass Sie Azure-Dateifreigaben mithilfe von Active Directory einbinden können.
Gilt für:
Dateifreigabetyp | SMB | NFS |
---|---|---|
Standard-Dateifreigaben (GPv2), LRS/ZRS | ||
Standard-Dateifreigaben (GPv2), GRS/GZRS | ||
Premium-Dateifreigaben (FileStorage), LRS/ZRS |
Einschränkungen des Linux SMB-Clients
Sie können die identitätsbasierte Authentifizierung nicht verwenden, um Azure-Dateifreigaben auf Linux-Clients zur Startzeit mithilfe von fstab
-Einträgen einzubinden, weil der Client das Kerberos-Ticket nicht früh genug erhalten kann, um es zur Startzeit bereitzustellen. Sie können jedoch einen fstab
-Eintrag verwenden und die Option noauto
angeben. Dadurch wird die Freigabe nicht zur Startzeit eingebunden, aber ein Benutzer kann sie bequem einbinden, nachdem er sich mit einem einfachen Einbindungsbefehl ohne alle Parameter angemeldet hat. Sie können auch mithilfe von autofs
die Freigabe beim Zugriff einbinden.
Voraussetzungen
Bevor Sie die AD-Authentifizierung über SMB für Azure-Dateifreigaben aktivieren, müssen Sie die folgenden Voraussetzungen erfüllt haben.
- Eine Linux-VM, auf der Ubuntu 18.04 oder höher oder eine entsprechende RHEL- oder SLES-VM ausgeführt wird. Wenn die VM auf Azure ausgeführt wird, muss sie über mindestens eine Netzwerkschnittstelle im VNet verfügen, das Microsoft Entra Domain Services enthält. Wenn Sie eine lokale VM verwenden, muss Ihre AD DS-Instanz mit Microsoft Entra ID synchronisiert werden.
- Stammbenutzer- oder Benutzeranmeldeinformationen für ein lokales Benutzerkonto, das vollständige sudo-Rechte hat (bei diesem Leitfaden „localadmin“).
- Die Linux-VM darf keiner AD-Domäne beigetreten sein. Wenn diese bereits Teil einer Domäne ist, muss sie diese Domäne zuerst verlassen, bevor sie der neuen beitreten kann.
- Ein vollständig konfigurierter Microsoft Entra-Mandant, bei dem der Domänenbenutzer bereits eingerichtet wurde.
Die Installation des Samba-Pakets ist nicht unbedingt erforderlich, bietet Ihnen aber einige nützliche Tools und bringt automatisch andere Pakete ein, z. B. samba-common
und smbclient
. Führen Sie die folgenden Befehle zu dessen Installation aus. Wenn Sie während der Installation zur Eingabe von Werten aufgefordert werden, lassen Sie sie leer.
sudo apt update -y
sudo apt install samba winbind libpam-winbind libnss-winbind krb5-config krb5-user keyutils cifs-utils
Das Tool wbinfo
ist Teil der Samba-Suite. Dies kann für Authentifizierungs- und Debugzwecke nützlich sein, z. B. der Überprüfung, ob der Domänencontroller erreichbar ist, der Überprüfung, welcher Domäne ein Computer beigetreten ist, und der Suche nach Informationen zu Benutzern.
Stellen Sie sicher, dass der Linux-Host die Zeit mit dem Domänenserver synchronisiert hält. Weitere Informationen finden Sie in der Dokumentation zu Ihrer Linux-Distribution. Bei einigen Distributionen können Sie dies mithilfe von systemd-timesyncd erledigen. Bearbeiten Sie /etc/systemd/timesyncd.conf
mit Ihrem bevorzugten Text-Editor, um Folgendes einzubeziehen:
[Time]
NTP=onpremaadint.com
FallbackNTP=ntp.ubuntu.com
Starten Sie dann den Dienst neu:
sudo systemctl restart systemd-timesyncd.service
Aktivieren der AD Kerberos-Authentifizierung
Führen Sie die folgenden Schritte zur Aktivierung der AD Kerberos-Authentifizierung aus. Diese Samba-Dokumentation könnte als Referenz hilfreich sein.
Sicherstellen, dass der Domänenserver erreichbar und auffindbar ist
- Stellen Sie sicher, dass die bereitgestellten DNS-Server die IP-Adressen des Domänenservers enthalten.
systemd-resolve --status
Global
DNSSEC NTA: 10.in-addr.arpa
16.172.in-addr.arpa
168.192.in-addr.arpa
17.172.in-addr.arpa
18.172.in-addr.arpa
19.172.in-addr.arpa
20.172.in-addr.arpa
21.172.in-addr.arpa
22.172.in-addr.arpa
23.172.in-addr.arpa
24.172.in-addr.arpa
25.172.in-addr.arpa
26.172.in-addr.arpa
27.172.in-addr.arpa
28.172.in-addr.arpa
29.172.in-addr.arpa
30.172.in-addr.arpa
31.172.in-addr.arpa
corp
d.f.ip6.arpa
home
internal
intranet
lan
local
private
test
Link 2 (eth0)
Current Scopes: DNS
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
DNS Servers: 10.0.2.5
10.0.2.4
10.0.0.41
DNS Domain: domain1.contoso.com
Wenn der Befehl funktioniert hat, überspringen Sie die folgenden Schritte, und setzen Sie den Vorgang mit dem nächsten Abschnitt fort.
Wenn er nicht funktioniert hat, stellen Sie sicher, dass die IP-Adressen des Domänenservers pingen.
ping 10.0.2.5
PING 10.0.2.5 (10.0.2.5) 56(84) bytes of data.
64 bytes from 10.0.2.5: icmp_seq=1 ttl=128 time=0.898 ms
64 bytes from 10.0.2.5: icmp_seq=2 ttl=128 time=0.946 ms
^C
--- 10.0.2.5 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 0.898/0.922/0.946/0.024 ms
Wenn der Ping nicht funktioniert, kehren Sie zu den Voraussetzungen zurück, und vergewissern Sie sich, dass sich Ihre VM in einem VNET befindet, das Zugriff auf den Microsoft Entra-Mandanten hat.
Wenn die IP-Adressen pingen, die DNS-Server aber nicht automatisch ermittelt werden, können Sie diese Server manuell hinzufügen. Bearbeiten Sie
/etc/netplan/50-cloud-init.yaml
mit Ihrem bevorzugten Text-Editor.
# This file is generated from information provided by the datasource. Changes
# to it will not persist across an instance reboot. To disable cloud-init's
# network configuration capabilities, write a file
# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:
# network: {config: disabled}
network:
ethernets:
eth0:
dhcp4: true
dhcp4-overrides:
route-metric: 100
dhcp6: false
match:
macaddress: 00:22:48:03:6b:c5
set-name: eth0
nameservers:
addresses: [10.0.2.5, 10.0.2.4]
version: 2
Wenden Sie dann die Änderungen an:
sudo netplan --debug apply
- winbind geht davon aus, dass der DHCP-Server die DNS-Domäneneinträge auf dem neuesten Stand hält. Dies gilt jedoch nicht für Azure DHCP. Nutzen Sie zum Einrichten des Clients für DDNS-Updates diesen Leitfaden, um ein Netzwerkskript zu erstellen. Hier ist ein Beispielskript, das unter
/etc/dhcp/dhclient-exit-hooks.d/ddns-update
verwendet wird.
#!/bin/sh
# only execute on the primary nic
if [ "$interface" != "eth0" ]
then
return
fi
# When you have a new IP, perform nsupdate
if [ "$reason" = BOUND ] || [ "$reason" = RENEW ] ||
[ "$reason" = REBIND ] || [ "$reason" = REBOOT ]
then
host=`hostname -f`
nsupdatecmds=/var/tmp/nsupdatecmds
echo "update delete $host a" > $nsupdatecmds
echo "update add $host 3600 a $new_ip_address" >> $nsupdatecmds
echo "send" >> $nsupdatecmds
nsupdate $nsupdatecmds
fi
Stellen Sie eine Verbindung mit Microsoft Entra Domain Services her, und stellen Sie sicher, dass die Dienste auffindbar sind
- Stellen Sie sicher, dass Sie den Domänenserver anhand des Domänennamens pingen können.
ping contosodomain.contoso.com
PING contosodomain.contoso.com (10.0.2.4) 56(84) bytes of data.
64 bytes from pwe-oqarc11l568.internal.cloudapp.net (10.0.2.4): icmp_seq=1 ttl=128 time=1.41 ms
64 bytes from pwe-oqarc11l568.internal.cloudapp.net (10.0.2.4): icmp_seq=2 ttl=128 time=1.02 ms
64 bytes from pwe-oqarc11l568.internal.cloudapp.net (10.0.2.4): icmp_seq=3 ttl=128 time=0.740 ms
64 bytes from pwe-oqarc11l568.internal.cloudapp.net (10.0.2.4): icmp_seq=4 ttl=128 time=0.925 ms
^C
--- contosodomain.contoso.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3016ms
rtt min/avg/max/mdev = 0.740/1.026/1.419/0.248 ms
- Stellen Sie sicher, dass Sie die Microsoft Entra-Dienste im Netzwerk entdecken können.
nslookup
> set type=SRV
> _ldap._tcp.contosodomain.contoso.com.
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
_ldap._tcp.contosodomain.contoso.com service = 0 100 389 pwe-oqarc11l568.contosodomain.contoso.com.
_ldap._tcp.contosodomain.contoso.com service = 0 100 389 hxt4yo--jb9q529.contosodomain.contoso.com.
Einrichten des Hostnamens und des vollqualifizierten Domänennamens (FQDN)
- Aktualisieren Sie die Datei
/etc/hosts
mithilfe Ihres Text-Editors mit dem endgültigen FQDN (nach dem Beitritt zur Domäne) und dem Alias für den Host. Die IP-Adresse spielt erst einmal keine Rolle, weil diese Zeile hauptsächlich zum Übersetzen eines kurzen Hostnamens in FQDN verwendet wird. Ausführlichere Informationen finden Sie unter Einrichten von Samba als Domänenmitglied.
127.0.0.1 contosovm.contosodomain.contoso.com contosovm
#cmd=sudo vim /etc/hosts
#then enter this value instead of localhost "ubuntvm.contosodomain.contoso.com UbuntuVM"
- Jetzt sollte Ihr Hostname aufgelöst werden. Sie können die IP-Adresse, in die er aufgelöst wird, erst einmal ignorieren. Der kurze Hostname sollte in den FQDN aufgelöst werden.
getent hosts contosovm
127.0.0.1 contosovm.contosodomain.contoso.com contosovm
dnsdomainname
contosodomain.contoso.com
hostname -f
contosovm.contosodomain.contoso.com
Hinweis
Bei einigen Distributionen müssen Sie den Befehl hostnamectl
ausführen, damit „hostname -f“ aktualisiert wird:
hostnamectl set-hostname contosovm.contosodomain.contoso.com
Einrichten von „krb5.conf“
- Konfigurieren Sie
/etc/krb5.conf
, damit das Kerberos Key Distribution Center (KDC) mit dem Domänenserver zur Authentifizierung kontaktiert werden kann. Weitere Informationen finden Sie in der Kerberos-Dokumentation des MIT. Hier ist eine/etc/krb5.conf
-Beispieldatei.
[libdefaults]
default_realm = CONTOSODOMAIN.CONTOSO.COM
dns_lookup_realm = false
dns_lookup_kdc = true
Einrichten von „smb.conf“
- Identifizieren Sie den Pfad zu
smb.conf
.
sudo smbd -b | grep "CONFIGFILE"
CONFIGFILE: /etc/samba/smb.conf
- Ändern Sie die SMB-Konfiguration so, dass es als Domänenmitglied fungiert. Weitere Informationen finden Sie unter Einrichten von Samba als Domänenmitglied. Hier ist eine
smb.conf
-Beispieldatei.
Hinweis
Dieses Beispiel gilt für Microsoft Entra Domain Services, für das wir beim Konfigurieren von „idmap“ die Einstellung backend = rid
empfehlen. Lokale AD DS-Benutzer möchten vielleicht lieber ein anderes „idmap“-Back-End wählen.
[global]
workgroup = CONTOSODOMAIN
security = ADS
realm = CONTOSODOMAIN.CONTOSO.COM
winbind refresh tickets = Yes
vfs objects = acl_xattr
map acl inherit = Yes
store dos attributes = Yes
dedicated keytab file = /etc/krb5.keytab
kerberos method = secrets and keytab
winbind use default domain = Yes
load printers = No
printing = bsd
printcap name = /dev/null
disable spoolss = Yes
log file = /var/log/samba/log.%m
log level = 1
idmap config * : backend = tdb
idmap config * : range = 3000-7999
idmap config CONTOSODOMAIN : backend = rid
idmap config CONTOSODOMAIN : range = 10000-999999
template shell = /bin/bash
template homedir = /home/%U
- Erzwingen Sie, dass winbind die geänderte Konfigurationsdatei erneut lädt.
sudo smbcontrol all reload-config
Beitreten zur Domäne
- Verwenden Sie den Befehl
net ads join
, um dem Host der Domäne „Microsoft Entra Domain Services“ beizutreten. Wenn der Befehl einen Fehler auslöst, lesen Sie Problembehandlung bei Samba-Domänenmitgliedern, um das Problem zu beheben.
sudo net ads join -U contososmbadmin # user - garead
Enter contososmbadmin's password:
Using short domain name -- CONTOSODOMAIN
Joined 'CONTOSOVM' to dns domain 'contosodomain.contoso.com'
- Vergewissern Sie sich, dass der DNS-Eintrag für diesen Host auf dem Domänenserver vorhanden ist.
nslookup contosovm.contosodomain.contoso.com 10.0.2.5
Server: 10.0.2.5
Address: 10.0.2.5#53
Name: contosovm.contosodomain.contoso.com
Address: 10.0.0.8
Wenn sich Benutzer bei Clientcomputern oder VMs aktiv anmelden und auf die Azure-Dateifreigaben zugreifen, müssen Sie „nsswitch.conf“ einrichten und PAM für winbind konfigurieren. Wenn der Zugriff auf Anwendungen eingeschränkt ist, die durch ein Benutzer- oder Computerkonto dargestellt werden und die Kerberos-Authentifizierung für den Zugriff auf die Dateifreigabe benötigen, können Sie diese Schritte überspringen.
Einrichten von „nsswitch.conf“
- Nachdem der Host der Domäne beigetreten ist, müssen Sie jetzt winbind-Bibliotheken an den Stellen platzieren, nach denen Sie bei einer Suche nach Benutzern und Gruppen suchen. Aktualisieren Sie hierzu die „passwd“- und „group“-Einträge in
nsswitch.conf
. Verwenden Sie Ihren Text-Editor zum Bearbeiten von/etc/nsswitch.conf
und Hinzufügen der folgenden Einträge:
passwd: compat systemd winbind
group: compat systemd winbind
- Aktivieren Sie den winbind-Dienst, damit er beim Neustart automatisch startet.
sudo systemctl enable winbind
Synchronizing state of winbind.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable winbind
- Starten Sie dann den Dienst neu.
sudo systemctl restart winbind
sudo systemctl status winbind
winbind.service - Samba Winbind Daemon
Loaded: loaded (/lib/systemd/system/winbind.service; enabled; vendor preset: enabled)
Active: active (running) since Fri 2020-04-24 09:34:31 UTC; 10s ago
Docs: man:winbindd(8)
man:samba(7)
man:smb.conf(5)
Main PID: 27349 (winbindd)
Status: "winbindd: ready to serve connections..."
Tasks: 2 (limit: 4915)
CGroup: /system.slice/winbind.service
├─27349 /usr/sbin/winbindd --foreground --no-process-group
└─27351 /usr/sbin/winbindd --foreground --no-process-group
Apr 24 09:34:31 contosovm systemd[1]: Starting Samba Winbind Daemon...
Apr 24 09:34:31 contosovm winbindd[27349]: [2020/04/24 09:34:31.724211, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)
Apr 24 09:34:31 contosovm winbindd[27349]: initialize_winbindd_cache: clearing cache and re-creating with version number 2
Apr 24 09:34:31 contosovm winbindd[27349]: [2020/04/24 09:34:31.725486, 0] ../lib/util/become_daemon.c:124(daemon_ready)
Apr 24 09:34:31 contosovm systemd[1]: Started Samba Winbind Daemon.
Apr 24 09:34:31 contosovm winbindd[27349]: STATUS=daemon 'winbindd' finished starting up and ready to serve connections
- Stellen Sie sicher, dass die Domänenbenutzer und -gruppen ermittelt werden.
getent passwd contososmbadmin
contososmbadmin:*:12604:10513::/home/contososmbadmin:/bin/bash
getent group 'domain users'
domain users:x:10513:
Wenn die vorstehenden Schritte nicht funktionieren, überprüfen Sie mithilfe des wbinfo-Tools, ob der Domänencontroller erreichbar ist:
wbinfo --ping-dc
Konfigurieren von PAM für winbind
- Sie müssen winbind im Authentifizierungsstapel platzieren, damit Domänenbenutzer über winbind authentifiziert werden. Zu diesem Zweck konfigurieren Sie PAM (Pluggable Authentication Module) für winbind. Der zweite Befehl stellt sicher, dass „homedir“ für einen Domänenbenutzer erstellt wird, wenn er sich zum ersten Mal bei diesem System anmeldet.
sudo pam-auth-update --enable winbind
sudo pam-auth-update --enable mkhomedir
- Stellen Sie sicher, dass die PAM-Authentifizierungskonfiguration die folgenden Argumente in
/etc/pam.d/common-auth
enthält:
grep pam_winbind.so /etc/pam.d/common-auth
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
- Sie sollten sich jetzt bei diesem System als Domänenbenutzer anmelden können – entweder über „ssh“, „su“ oder eine beliebige andere Authentifizierungsmethode.
su - contososmbadmin
Password:
Creating directory '/home/contososmbadmin'.
contososmbadmin@contosovm:~$ pwd
/home/contososmbadmin
contososmbadmin@contosovm:~$ id
uid=12604(contososmbadmin) gid=10513(domain users) groups=10513(domain users),10520(group policy creator owners),10572(denied rodc password replication group),11102(dnsadmins),11104(aad dc administrators),11164(group-readwrite),11165(fileshareallaccess),12604(contososmbadmin)
Überprüfen der Konfiguration
Zur Überprüfung, ob der Clientcomputer in die Domäne eingebunden ist, suchen Sie den FQDN des Clients auf dem Domänencontroller und dann den DNS-Eintrag, der für diesen bestimmten Client aufgeführt ist. In vielen Fällen ist <dnsserver>
identisch mit dem Domänennamen, mit dem der Client verknüpft ist.
nslookup <clientname> <dnsserver>
Verwenden Sie als Nächstes den Befehl klist
zum Anzeigen der Tickets im Kerberos-Cache. Es sollte einen Eintrag geben, der mit krbtgt
beginnt und in etwa so aussieht:
krbtgt/CONTOSODOMAIN.CONTOSO.COM@CONTOSODOMAIN.CONTOSO.COM
Wenn Sie nicht PAM für winbind konfiguriert haben, wird mit klist
der Ticketeintrag möglicherweise nicht angezeigt. In diesem Fall können Sie den Benutzer manuell authentifizieren, um die Tickets zu erhalten:
wbinfo -K contososmbadmin
Sie können den Befehl auch im Rahmen eines Skripts ausführen:
wbinfo -K 'contososmbadmin%SUPERSECRETPASSWORD'
Bereitstellen der Dateifreigabe
Nachdem Sie die Kerberos-Authentifizierung von AD (oder Microsoft Entra ID) aktiviert und Ihre Linux-VM in die Domäne eingebunden haben, können Sie die Dateifreigabe einbinden.
Ausführliche Einbindungsanleitungen finden Sie unter Bedarfsgesteuertes Einbinden der Azure-Dateifreigabe mit „mount“.
Verwenden Sie die folgende zusätzliche Einbindungsoption mit allen Zugriffssteuerungsmodellen zum Aktivieren von Kerberos-Sicherheit: sec=krb5
. Benutzername und Kennwort müssen weggelassen werden, wenn sec=krb5 verwendet wird.
Hinweis
Dieses Feature unterstützt nur ein vom Server erzwungenes Zugriffssteuerungsmodell, das NT-ACLs ohne Modusbits verwendet. Weil Linux-Tools, die NT-ACLs aktualisieren, minimal sind, aktualisieren Sie ACLs über Windows. Vom Client erzwungene Zugriffssteuerungsmodelle (modefromsid,idsfromsid
) und vom Client übersetzte Zugriffssteuerungsmodelle (cifsacl
) werden zurzeit nicht unterstützt.
Andere Einbindungsoptionen
Einbindung mit einem einzelnen Benutzer im Vergleich zur Einbindung mit mehreren Benutzern
In einem Anwendungsfall für die Einbindung mit einem einzelnen Benutzer greift ein einzelner Benutzer der AD-Domäne auf den Bereitstellungspunkt zu, und dieser Punkt wird für andere Benutzer der Domäne nicht freigegeben. Jeder Dateizugriff geschieht im Kontext des Benutzers, dessen „krb5“-Anmeldeinformationen zum Einbinden der Dateifreigabe verwendet wurden. Jeder Benutzer im lokalen System, der auf den Bereitstellungspunkt zugreift, nimmt die Identität dieses Benutzers an.
In einem Anwendungsfall für die Einbindung mit mehreren Benutzern gibt es immer noch einen einzelnen Bereitstellungspunkt, aber mehrere AD-Benutzer können darauf zugreifen. In Szenarien, in denen mehrere Benutzer auf demselben Client auf dieselbe Freigabe zugreifen, das System für Kerberos konfiguriert und mit sec=krb5
eingebunden wurde, sollten Sie die Einbindungsoption multiuser
verwenden.
Dateiberechtigungen
Dateiberechtigungen sind wichtig – insbesondere, wenn sowohl Linux- als auch Windows-Clients auf die Dateifreigabe zugreifen. Verwenden Sie zum Konvertieren von Dateiberechtigungen in DACLs für Dateien eine Standardeinbindungsoption, z. B. file_mode=<>,dir_mode=<>. Dateiberechtigungen, die als file_mode und dir_mode angegeben wurden, werden nur innerhalb des Clients erzwungen. Der Server erzwingt die Zugriffssteuerung basierend auf der Sicherheitsbeschreibung der Datei oder des Verzeichnisses.
Dateibesitz
Dateibesitz ist wichtig – insbesondere, wenn sowohl Linux- als auch Windows-Clients auf die Dateifreigabe zugreifen. Wählen Sie eine der folgenden Einbindungsoptionen aus, um die Dateibesitz-UID/GID in die Besitzer-/Gruppen-SID für Datei-DACL zu konvertieren:
- Verwenden eines Standardwerts, z. B. uid=<>,gid=<>
- Konfigurieren der UID/GID-Zuordnung über RFC2307 und Active Directory (nss_winbind oder nss_sssd)
Kohärenz des Dateiattributecaches
Die Leistung ist wichtig, selbst wenn Dateiattribute nicht immer richtig sind. Der Standardwert für actimeo ist „1“ (Sekunde). Dies bedeutet, dass die auf dem Server zwischengespeicherten Dateiattribute dort erneut abgerufen werden, wenn sie älter als 1 Sekunde sind. Wenn Sie den Wert auf „60“ erhöhen, bedeutet dies, dass Attribute mindestens 1 Minute lang zwischengespeichert werden. Bei den meisten Anwendungsfällen empfehlen wir die Verwendung des Werts „30“ für diese Option (actimeo=30).
Erwägen Sie bei neueren Kerneln, die actimeo-Features präziser festzulegen. Sie können acdirmax zum Zwischenspeichern bei der erneuten Überprüfung von Verzeichniseinträgen und acregmax zum Zwischenspeichern von Dateimetadaten verwenden, z. B. acdirmax=60,acregmax=5.
Nächster Schritt
Weitere Informationen zum Einbinden einer SMB-Dateifreigabe unter Linux finden Sie unter: