Freigeben über


Aktivieren der Active Directory-Authentifizierung über SMB für Linux-Clients, die auf Azure Files zugreifen

Weitere Informationen zu den unterstützten Optionen und Überlegungen finden Sie unter Übersicht über die Optionen der identitätsbasierten Authentifizierung für den SMB-Zugriff in Azure Files.

Azure Files unterstützt die identitätsbasierte Authentifizierung über Server Message Block (SMB) für virtuelle Linux-Computer (Linux-VMs) mithilfe des Kerberos-Authentifizierungsprotokolls mit den folgenden Methoden:

  • Lokale Windows Active Directory Domain Services (AD DS)
  • Microsoft Entra Domain Services

Wenn Sie AD DS verwenden möchten, müssen Sie Ihre AD DS-Instanz mithilfe von Microsoft Entra Connect mit Microsoft Entra ID synchronisieren.

Hinweis

In diesem Artikel wird Ubuntu für die Beispielschritte verwendet. Ähnliche Konfigurationen funktionieren bei RHEL- und SLES-Computern, sodass Sie Azure-Dateifreigaben mithilfe von Active Directory einbinden können.

Gilt für:

Dateifreigabetyp SMB NFS
Standard-Dateifreigaben (GPv2), LRS/ZRS Ja, dieser Artikel gilt für Standard-SMB-Dateifreigaben LRS/ZRS in Azure. Nein, dieser Artikel gilt nicht für NFS-Dateifreigaben in Azure.
Standard-Dateifreigaben (GPv2), GRS/GZRS Ja, dieser Artikel gilt für Standard-SMB-Dateifreigaben GRS/GZRS in Azure. Nein, dieser Artikel gilt nicht für NFS-Dateifreigaben in Azure.
Premium-Dateifreigaben (FileStorage), LRS/ZRS Ja, dieser Artikel gilt für Premium-SMB-Dateifreigaben in Azure. Nein, dieser Artikel gilt nicht für Premium-NFS-Dateifreigaben in Azure.

Einschränkungen des Linux SMB-Clients

Sie können die identitätsbasierte Authentifizierung nicht verwenden, um Azure-Dateifreigaben auf Linux-Clients zur Startzeit mithilfe von fstab-Einträgen einzubinden, weil der Client das Kerberos-Ticket nicht früh genug erhalten kann, um es zur Startzeit bereitzustellen. Sie können jedoch einen fstab-Eintrag verwenden und die Option noauto angeben. Dadurch wird die Freigabe nicht zur Startzeit eingebunden, aber ein Benutzer kann sie bequem einbinden, nachdem er sich mit einem einfachen Einbindungsbefehl ohne alle Parameter angemeldet hat. Sie können auch mithilfe von autofs die Freigabe beim Zugriff einbinden.

Voraussetzungen

Bevor Sie die AD-Authentifizierung über SMB für Azure-Dateifreigaben aktivieren, müssen Sie die folgenden Voraussetzungen erfüllt haben.

  • Eine Linux-VM, auf der Ubuntu 18.04 oder höher oder eine entsprechende RHEL- oder SLES-VM ausgeführt wird. Wenn die VM auf Azure ausgeführt wird, muss sie über mindestens eine Netzwerkschnittstelle im VNet verfügen, das Microsoft Entra Domain Services enthält. Wenn Sie eine lokale VM verwenden, muss Ihre AD DS-Instanz mit Microsoft Entra ID synchronisiert werden.
  • Stammbenutzer- oder Benutzeranmeldeinformationen für ein lokales Benutzerkonto, das vollständige sudo-Rechte hat (bei diesem Leitfaden „localadmin“).
  • Die Linux-VM darf keiner AD-Domäne beigetreten sein. Wenn diese bereits Teil einer Domäne ist, muss sie diese Domäne zuerst verlassen, bevor sie der neuen beitreten kann.
  • Ein vollständig konfigurierter Microsoft Entra-Mandant, bei dem der Domänenbenutzer bereits eingerichtet wurde.

Die Installation des Samba-Pakets ist nicht unbedingt erforderlich, bietet Ihnen aber einige nützliche Tools und bringt automatisch andere Pakete ein, z. B. samba-common und smbclient. Führen Sie die folgenden Befehle zu dessen Installation aus. Wenn Sie während der Installation zur Eingabe von Werten aufgefordert werden, lassen Sie sie leer.

sudo apt update -y
sudo apt install samba winbind libpam-winbind libnss-winbind krb5-config krb5-user keyutils cifs-utils

Das Tool wbinfo ist Teil der Samba-Suite. Dies kann für Authentifizierungs- und Debugzwecke nützlich sein, z. B. der Überprüfung, ob der Domänencontroller erreichbar ist, der Überprüfung, welcher Domäne ein Computer beigetreten ist, und der Suche nach Informationen zu Benutzern.

Stellen Sie sicher, dass der Linux-Host die Zeit mit dem Domänenserver synchronisiert hält. Weitere Informationen finden Sie in der Dokumentation zu Ihrer Linux-Distribution. Bei einigen Distributionen können Sie dies mithilfe von systemd-timesyncd erledigen. Bearbeiten Sie /etc/systemd/timesyncd.conf mit Ihrem bevorzugten Text-Editor, um Folgendes einzubeziehen:

[Time]
NTP=onpremaadint.com
FallbackNTP=ntp.ubuntu.com

Starten Sie dann den Dienst neu:

sudo systemctl restart systemd-timesyncd.service

Aktivieren der AD Kerberos-Authentifizierung

Führen Sie die folgenden Schritte zur Aktivierung der AD Kerberos-Authentifizierung aus. Diese Samba-Dokumentation könnte als Referenz hilfreich sein.

Sicherstellen, dass der Domänenserver erreichbar und auffindbar ist

  1. Stellen Sie sicher, dass die bereitgestellten DNS-Server die IP-Adressen des Domänenservers enthalten.
systemd-resolve --status
Global 
          DNSSEC NTA: 10.in-addr.arpa
                      16.172.in-addr.arpa
                      168.192.in-addr.arpa
                      17.172.in-addr.arpa
                      18.172.in-addr.arpa
                      19.172.in-addr.arpa
                      20.172.in-addr.arpa
                      21.172.in-addr.arpa
                      22.172.in-addr.arpa
                      23.172.in-addr.arpa
                      24.172.in-addr.arpa
                      25.172.in-addr.arpa
                      26.172.in-addr.arpa
                      27.172.in-addr.arpa
                      28.172.in-addr.arpa
                      29.172.in-addr.arpa
                      30.172.in-addr.arpa
                      31.172.in-addr.arpa
                      corp
                      d.f.ip6.arpa
                      home
                      internal
                      intranet
                      lan
                      local
                      private
                      test 

Link 2 (eth0) 
      Current Scopes: DNS 
       LLMNR setting: yes 
MulticastDNS setting: no 
      DNSSEC setting: no 
    DNSSEC supported: no 
         DNS Servers: 10.0.2.5 
                      10.0.2.4 
                      10.0.0.41
          DNS Domain: domain1.contoso.com 
  1. Wenn der Befehl funktioniert hat, überspringen Sie die folgenden Schritte, und setzen Sie den Vorgang mit dem nächsten Abschnitt fort.

  2. Wenn er nicht funktioniert hat, stellen Sie sicher, dass die IP-Adressen des Domänenservers pingen.

ping 10.0.2.5
PING 10.0.2.5 (10.0.2.5) 56(84) bytes of data.
64 bytes from 10.0.2.5: icmp_seq=1 ttl=128 time=0.898 ms
64 bytes from 10.0.2.5: icmp_seq=2 ttl=128 time=0.946 ms

^C 

--- 10.0.2.5 ping statistics --- 
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 0.898/0.922/0.946/0.024 ms
  1. Wenn der Ping nicht funktioniert, kehren Sie zu den Voraussetzungen zurück, und vergewissern Sie sich, dass sich Ihre VM in einem VNET befindet, das Zugriff auf den Microsoft Entra-Mandanten hat.

  2. Wenn die IP-Adressen pingen, die DNS-Server aber nicht automatisch ermittelt werden, können Sie diese Server manuell hinzufügen. Bearbeiten Sie /etc/netplan/50-cloud-init.yaml mit Ihrem bevorzugten Text-Editor.

# This file is generated from information provided by the datasource.  Changes
# to it will not persist across an instance reboot.  To disable cloud-init's
# network configuration capabilities, write a file
# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:
# network: {config: disabled}
network:
    ethernets:
        eth0:
            dhcp4: true
            dhcp4-overrides:
                route-metric: 100
            dhcp6: false
            match:
                macaddress: 00:22:48:03:6b:c5
            set-name: eth0
            nameservers:
                addresses: [10.0.2.5, 10.0.2.4]
    version: 2

Wenden Sie dann die Änderungen an:

sudo netplan --debug apply 
  1. winbind geht davon aus, dass der DHCP-Server die DNS-Domäneneinträge auf dem neuesten Stand hält. Dies gilt jedoch nicht für Azure DHCP. Nutzen Sie zum Einrichten des Clients für DDNS-Updates diesen Leitfaden, um ein Netzwerkskript zu erstellen. Hier ist ein Beispielskript, das unter /etc/dhcp/dhclient-exit-hooks.d/ddns-update verwendet wird.
#!/bin/sh 

# only execute on the primary nic
if [ "$interface" != "eth0" ]
then
    return
fi 

# When you have a new IP, perform nsupdate
if [ "$reason" = BOUND ] || [ "$reason" = RENEW ] ||
   [ "$reason" = REBIND ] || [ "$reason" = REBOOT ]
then
   host=`hostname -f`
   nsupdatecmds=/var/tmp/nsupdatecmds
     echo "update delete $host a" > $nsupdatecmds
     echo "update add $host 3600 a $new_ip_address" >> $nsupdatecmds
     echo "send" >> $nsupdatecmds

     nsupdate $nsupdatecmds
fi 

Stellen Sie eine Verbindung mit Microsoft Entra Domain Services her, und stellen Sie sicher, dass die Dienste auffindbar sind

  1. Stellen Sie sicher, dass Sie den Domänenserver anhand des Domänennamens pingen können.
ping contosodomain.contoso.com
PING contosodomain.contoso.com (10.0.2.4) 56(84) bytes of data.
64 bytes from pwe-oqarc11l568.internal.cloudapp.net (10.0.2.4): icmp_seq=1 ttl=128 time=1.41 ms
64 bytes from pwe-oqarc11l568.internal.cloudapp.net (10.0.2.4): icmp_seq=2 ttl=128 time=1.02 ms
64 bytes from pwe-oqarc11l568.internal.cloudapp.net (10.0.2.4): icmp_seq=3 ttl=128 time=0.740 ms
64 bytes from pwe-oqarc11l568.internal.cloudapp.net (10.0.2.4): icmp_seq=4 ttl=128 time=0.925 ms 

^C 

--- contosodomain.contoso.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3016ms
rtt min/avg/max/mdev = 0.740/1.026/1.419/0.248 ms 
  1. Stellen Sie sicher, dass Sie die Microsoft Entra-Dienste im Netzwerk entdecken können.
nslookup
> set type=SRV
> _ldap._tcp.contosodomain.contoso.com.
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer: 

_ldap._tcp.contosodomain.contoso.com service = 0 100 389 pwe-oqarc11l568.contosodomain.contoso.com.
_ldap._tcp.contosodomain.contoso.com service = 0 100 389 hxt4yo--jb9q529.contosodomain.contoso.com. 

Einrichten des Hostnamens und des vollqualifizierten Domänennamens (FQDN)

  1. Aktualisieren Sie die Datei /etc/hosts mithilfe Ihres Text-Editors mit dem endgültigen FQDN (nach dem Beitritt zur Domäne) und dem Alias für den Host. Die IP-Adresse spielt erst einmal keine Rolle, weil diese Zeile hauptsächlich zum Übersetzen eines kurzen Hostnamens in FQDN verwendet wird. Ausführlichere Informationen finden Sie unter Einrichten von Samba als Domänenmitglied.
127.0.0.1       contosovm.contosodomain.contoso.com contosovm
#cmd=sudo vim /etc/hosts   
#then enter this value instead of localhost "ubuntvm.contosodomain.contoso.com UbuntuVM" 
  1. Jetzt sollte Ihr Hostname aufgelöst werden. Sie können die IP-Adresse, in die er aufgelöst wird, erst einmal ignorieren. Der kurze Hostname sollte in den FQDN aufgelöst werden.
getent hosts contosovm
127.0.0.1       contosovm.contosodomain.contoso.com contosovm
dnsdomainname
contosodomain.contoso.com
hostname -f
contosovm.contosodomain.contoso.com 

Hinweis

Bei einigen Distributionen müssen Sie den Befehl hostnamectl ausführen, damit „hostname -f“ aktualisiert wird:

hostnamectl set-hostname contosovm.contosodomain.contoso.com

Einrichten von „krb5.conf“

  1. Konfigurieren Sie /etc/krb5.conf, damit das Kerberos Key Distribution Center (KDC) mit dem Domänenserver zur Authentifizierung kontaktiert werden kann. Weitere Informationen finden Sie in der Kerberos-Dokumentation des MIT. Hier ist eine /etc/krb5.conf-Beispieldatei.
[libdefaults]
        default_realm = CONTOSODOMAIN.CONTOSO.COM
        dns_lookup_realm = false
        dns_lookup_kdc = true

Einrichten von „smb.conf“

  1. Identifizieren Sie den Pfad zu smb.conf.
sudo smbd -b | grep "CONFIGFILE"
   CONFIGFILE: /etc/samba/smb.conf
  1. Ändern Sie die SMB-Konfiguration so, dass es als Domänenmitglied fungiert. Weitere Informationen finden Sie unter Einrichten von Samba als Domänenmitglied. Hier ist eine smb.conf-Beispieldatei.

Hinweis

Dieses Beispiel gilt für Microsoft Entra Domain Services, für das wir beim Konfigurieren von „idmap“ die Einstellung backend = rid empfehlen. Lokale AD DS-Benutzer möchten vielleicht lieber ein anderes „idmap“-Back-End wählen.

[global]
   workgroup = CONTOSODOMAIN
   security = ADS
   realm = CONTOSODOMAIN.CONTOSO.COM

   winbind refresh tickets = Yes
   vfs objects = acl_xattr
   map acl inherit = Yes
   store dos attributes = Yes

   dedicated keytab file = /etc/krb5.keytab
   kerberos method = secrets and keytab

   winbind use default domain = Yes 

   load printers = No
   printing = bsd
   printcap name = /dev/null
   disable spoolss = Yes

   log file = /var/log/samba/log.%m
   log level = 1

   idmap config * : backend = tdb
   idmap config * : range = 3000-7999

   idmap config CONTOSODOMAIN : backend = rid
   idmap config CONTOSODOMAIN : range = 10000-999999

   template shell = /bin/bash
   template homedir = /home/%U 
  1. Erzwingen Sie, dass winbind die geänderte Konfigurationsdatei erneut lädt.
sudo smbcontrol all reload-config

Beitreten zur Domäne

  1. Verwenden Sie den Befehl net ads join, um dem Host der Domäne „Microsoft Entra Domain Services“ beizutreten. Wenn der Befehl einen Fehler auslöst, lesen Sie Problembehandlung bei Samba-Domänenmitgliedern, um das Problem zu beheben.
sudo net ads join -U contososmbadmin    # user  - garead

Enter contososmbadmin's password:
Using short domain name -- CONTOSODOMAIN
Joined 'CONTOSOVM' to dns domain 'contosodomain.contoso.com' 
  1. Vergewissern Sie sich, dass der DNS-Eintrag für diesen Host auf dem Domänenserver vorhanden ist.
nslookup contosovm.contosodomain.contoso.com 10.0.2.5
Server:         10.0.2.5
Address:        10.0.2.5#53

Name:   contosovm.contosodomain.contoso.com
Address: 10.0.0.8

Wenn sich Benutzer bei Clientcomputern oder VMs aktiv anmelden und auf die Azure-Dateifreigaben zugreifen, müssen Sie „nsswitch.conf“ einrichten und PAM für winbind konfigurieren. Wenn der Zugriff auf Anwendungen eingeschränkt ist, die durch ein Benutzer- oder Computerkonto dargestellt werden und die Kerberos-Authentifizierung für den Zugriff auf die Dateifreigabe benötigen, können Sie diese Schritte überspringen.

Einrichten von „nsswitch.conf“

  1. Nachdem der Host der Domäne beigetreten ist, müssen Sie jetzt winbind-Bibliotheken an den Stellen platzieren, nach denen Sie bei einer Suche nach Benutzern und Gruppen suchen. Aktualisieren Sie hierzu die „passwd“- und „group“-Einträge in nsswitch.conf. Verwenden Sie Ihren Text-Editor zum Bearbeiten von /etc/nsswitch.conf und Hinzufügen der folgenden Einträge:
passwd:         compat systemd winbind
group:          compat systemd winbind
  1. Aktivieren Sie den winbind-Dienst, damit er beim Neustart automatisch startet.
sudo systemctl enable winbind
Synchronizing state of winbind.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable winbind
  1. Starten Sie dann den Dienst neu.
sudo systemctl restart winbind
sudo systemctl status winbind
winbind.service - Samba Winbind Daemon
   Loaded: loaded (/lib/systemd/system/winbind.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2020-04-24 09:34:31 UTC; 10s ago
     Docs: man:winbindd(8)
           man:samba(7)
           man:smb.conf(5)
 Main PID: 27349 (winbindd)
   Status: "winbindd: ready to serve connections..."
    Tasks: 2 (limit: 4915)
   CGroup: /system.slice/winbind.service
           ├─27349 /usr/sbin/winbindd --foreground --no-process-group
           └─27351 /usr/sbin/winbindd --foreground --no-process-group

Apr 24 09:34:31 contosovm systemd[1]: Starting Samba Winbind Daemon...
Apr 24 09:34:31 contosovm winbindd[27349]: [2020/04/24 09:34:31.724211,  0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)
Apr 24 09:34:31 contosovm winbindd[27349]:   initialize_winbindd_cache: clearing cache and re-creating with version number 2
Apr 24 09:34:31 contosovm winbindd[27349]: [2020/04/24 09:34:31.725486,  0] ../lib/util/become_daemon.c:124(daemon_ready)
Apr 24 09:34:31 contosovm systemd[1]: Started Samba Winbind Daemon.
Apr 24 09:34:31 contosovm winbindd[27349]:   STATUS=daemon 'winbindd' finished starting up and ready to serve connections 
  1. Stellen Sie sicher, dass die Domänenbenutzer und -gruppen ermittelt werden.
getent passwd contososmbadmin
contososmbadmin:*:12604:10513::/home/contososmbadmin:/bin/bash
getent group 'domain users'
domain users:x:10513: 

Wenn die vorstehenden Schritte nicht funktionieren, überprüfen Sie mithilfe des wbinfo-Tools, ob der Domänencontroller erreichbar ist:

wbinfo --ping-dc

Konfigurieren von PAM für winbind

  1. Sie müssen winbind im Authentifizierungsstapel platzieren, damit Domänenbenutzer über winbind authentifiziert werden. Zu diesem Zweck konfigurieren Sie PAM (Pluggable Authentication Module) für winbind. Der zweite Befehl stellt sicher, dass „homedir“ für einen Domänenbenutzer erstellt wird, wenn er sich zum ersten Mal bei diesem System anmeldet.
sudo pam-auth-update --enable winbind
sudo pam-auth-update --enable mkhomedir 
  1. Stellen Sie sicher, dass die PAM-Authentifizierungskonfiguration die folgenden Argumente in /etc/pam.d/common-auth enthält:
grep pam_winbind.so /etc/pam.d/common-auth
auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass 
  1. Sie sollten sich jetzt bei diesem System als Domänenbenutzer anmelden können – entweder über „ssh“, „su“ oder eine beliebige andere Authentifizierungsmethode.
su - contososmbadmin
Password:
Creating directory '/home/contososmbadmin'.
contososmbadmin@contosovm:~$ pwd
/home/contososmbadmin
contososmbadmin@contosovm:~$ id
uid=12604(contososmbadmin) gid=10513(domain users) groups=10513(domain users),10520(group policy creator owners),10572(denied rodc password replication group),11102(dnsadmins),11104(aad dc administrators),11164(group-readwrite),11165(fileshareallaccess),12604(contososmbadmin) 

Überprüfen der Konfiguration

Zur Überprüfung, ob der Clientcomputer in die Domäne eingebunden ist, suchen Sie den FQDN des Clients auf dem Domänencontroller und dann den DNS-Eintrag, der für diesen bestimmten Client aufgeführt ist. In vielen Fällen ist <dnsserver> identisch mit dem Domänennamen, mit dem der Client verknüpft ist.

nslookup <clientname> <dnsserver>

Verwenden Sie als Nächstes den Befehl klist zum Anzeigen der Tickets im Kerberos-Cache. Es sollte einen Eintrag geben, der mit krbtgt beginnt und in etwa so aussieht:

krbtgt/CONTOSODOMAIN.CONTOSO.COM@CONTOSODOMAIN.CONTOSO.COM

Wenn Sie nicht PAM für winbind konfiguriert haben, wird mit klist der Ticketeintrag möglicherweise nicht angezeigt. In diesem Fall können Sie den Benutzer manuell authentifizieren, um die Tickets zu erhalten:

wbinfo -K contososmbadmin

Sie können den Befehl auch im Rahmen eines Skripts ausführen:

wbinfo -K 'contososmbadmin%SUPERSECRETPASSWORD'

Bereitstellen der Dateifreigabe

Nachdem Sie die Kerberos-Authentifizierung von AD (oder Microsoft Entra ID) aktiviert und Ihre Linux-VM in die Domäne eingebunden haben, können Sie die Dateifreigabe einbinden.

Ausführliche Einbindungsanleitungen finden Sie unter Bedarfsgesteuertes Einbinden der Azure-Dateifreigabe mit „mount“.

Verwenden Sie die folgende zusätzliche Einbindungsoption mit allen Zugriffssteuerungsmodellen zum Aktivieren von Kerberos-Sicherheit: sec=krb5. Benutzername und Kennwort müssen weggelassen werden, wenn sec=krb5 verwendet wird.

Hinweis

Dieses Feature unterstützt nur ein vom Server erzwungenes Zugriffssteuerungsmodell, das NT-ACLs ohne Modusbits verwendet. Weil Linux-Tools, die NT-ACLs aktualisieren, minimal sind, aktualisieren Sie ACLs über Windows. Vom Client erzwungene Zugriffssteuerungsmodelle (modefromsid,idsfromsid) und vom Client übersetzte Zugriffssteuerungsmodelle (cifsacl) werden zurzeit nicht unterstützt.

Andere Einbindungsoptionen

Einbindung mit einem einzelnen Benutzer im Vergleich zur Einbindung mit mehreren Benutzern

In einem Anwendungsfall für die Einbindung mit einem einzelnen Benutzer greift ein einzelner Benutzer der AD-Domäne auf den Bereitstellungspunkt zu, und dieser Punkt wird für andere Benutzer der Domäne nicht freigegeben. Jeder Dateizugriff geschieht im Kontext des Benutzers, dessen „krb5“-Anmeldeinformationen zum Einbinden der Dateifreigabe verwendet wurden. Jeder Benutzer im lokalen System, der auf den Bereitstellungspunkt zugreift, nimmt die Identität dieses Benutzers an.

In einem Anwendungsfall für die Einbindung mit mehreren Benutzern gibt es immer noch einen einzelnen Bereitstellungspunkt, aber mehrere AD-Benutzer können darauf zugreifen. In Szenarien, in denen mehrere Benutzer auf demselben Client auf dieselbe Freigabe zugreifen, das System für Kerberos konfiguriert und mit sec=krb5 eingebunden wurde, sollten Sie die Einbindungsoption multiuser verwenden.

Dateiberechtigungen

Dateiberechtigungen sind wichtig – insbesondere, wenn sowohl Linux- als auch Windows-Clients auf die Dateifreigabe zugreifen. Verwenden Sie zum Konvertieren von Dateiberechtigungen in DACLs für Dateien eine Standardeinbindungsoption, z. B. file_mode=<>,dir_mode=<>. Dateiberechtigungen, die als file_mode und dir_mode angegeben wurden, werden nur innerhalb des Clients erzwungen. Der Server erzwingt die Zugriffssteuerung basierend auf der Sicherheitsbeschreibung der Datei oder des Verzeichnisses.

Dateibesitz

Dateibesitz ist wichtig – insbesondere, wenn sowohl Linux- als auch Windows-Clients auf die Dateifreigabe zugreifen. Wählen Sie eine der folgenden Einbindungsoptionen aus, um die Dateibesitz-UID/GID in die Besitzer-/Gruppen-SID für Datei-DACL zu konvertieren:

  • Verwenden eines Standardwerts, z. B. uid=<>,gid=<>
  • Konfigurieren der UID/GID-Zuordnung über RFC2307 und Active Directory (nss_winbind oder nss_sssd)

Kohärenz des Dateiattributecaches

Die Leistung ist wichtig, selbst wenn Dateiattribute nicht immer richtig sind. Der Standardwert für actimeo ist „1“ (Sekunde). Dies bedeutet, dass die auf dem Server zwischengespeicherten Dateiattribute dort erneut abgerufen werden, wenn sie älter als 1 Sekunde sind. Wenn Sie den Wert auf „60“ erhöhen, bedeutet dies, dass Attribute mindestens 1 Minute lang zwischengespeichert werden. Bei den meisten Anwendungsfällen empfehlen wir die Verwendung des Werts „30“ für diese Option (actimeo=30).

Erwägen Sie bei neueren Kerneln, die actimeo-Features präziser festzulegen. Sie können acdirmax zum Zwischenspeichern bei der erneuten Überprüfung von Verzeichniseinträgen und acregmax zum Zwischenspeichern von Dateimetadaten verwenden, z. B. acdirmax=60,acregmax=5.

Nächster Schritt

Weitere Informationen zum Einbinden einer SMB-Dateifreigabe unter Linux finden Sie unter: