概述 - 通过 SMB 为 Azure 文件共享启用本地 Active Directory 域服务身份验证

  • 项目

Azure 文件存储采用以下方法来支持使用 Kerberos 身份验证协议通过服务器消息块 (SMB) 对 Windows 文件共享进行基于标识的身份验证:

  • 本地 Active Directory 域服务 (AD DS)
  • Microsoft Entra 域服务
  • 用于混合用户标识的 Microsoft Entra Kerberos

强烈建议查看工作原理部分,选择合适的 AD 源来进行身份验证。 选择域服务不同,设置也会不同。 本文重点介绍如何启用和配置本地 AD DS,以便通过 Azure 文件共享进行身份验证。

如果你不熟悉 Azure 文件存储,建议阅读规划指南

适用于

文件共享类型 SMB NFS
标准文件共享 (GPv2)、LRS/ZRS 是 否
标准文件共享 (GPv2)、GRS/GZRS 是 否
高级文件共享 (FileStorage)、LRS/ZRS 是 否

支持的方案和限制

  • 用于 Azure 文件存储本地 AD DS 身份验证的 AD DS 标识必须同步到 Microsoft Entra ID 或使用默认共享级别权限。 密码哈希同步是可选项。
  • 支持由 Azure 文件同步管理的 Azure 文件共享。
  • 支持通过具有 AES 256 加密(建议)和 RC4-HMAC 的 AD 进行 Kerberos 身份验证。 尚不支持 AES 128 Kerberos 加密。
  • 仅在运行在 Azure 上运行的 OS 版本 Windows 8/Windows Server 2012 或更高版本或 Linux VM(Ubuntu 18.04+ 或等效的 SLES VM)的 Windows 客户端上受支持。
  • 仅支持有相应存储帐户注册的 AD 林。 属于同一林中不同域的用户应能够访问文件共享和基础目录/文件,前提是他们具有适当的权限。
  • 默认情况下,只能使用 AD DS 凭据从单个林访问 Azure 文件共享。 如果需要从不同的林访问 Azure 文件共享,请确保已配置适当的林信任。 有关详细信息,请参阅将 Azure 文件存储与多个 Active Directory 林配合使用
  • 不支持使用 Azure RBAC 将共享级别权限分配给计算机帐户。 可以使用默认共享级别权限来允许计算机帐户访问共享,也可以考虑改用服务登录帐户。
  • 不支持对网络文件系统 (NFS) 文件共享进行身份验证。

通过 SMB 为 Azure 文件共享启用 AD DS 后,已加入 AD DS 的计算机可使用现有的 AD DS 凭据装载 Azure 文件共享。 可使用本地计算机中或 Azure 虚拟机 (VM) 上托管的 AD DS 环境启用此功能。

先决条件

在为 Azure 文件共享启用 AD DS 身份验证之前,请确保满足以下先决条件:

  • 选择或创建 AD DS 环境,并使用本地 Microsoft Entra Connect Sync 应用程序将它同步到 Microsoft Entra ID

    可在新的或现有的本地 AD DS 环境中启用该功能。 用于访问的标识必须同步到 Microsoft Entra ID 或使用默认共享级别权限。 要访问的 Microsoft Entra 租户和文件共享必须与同一订阅关联。

  • 将本地计算机或 Azure VM 通过域加入到本地 AD DS。 若要了解如何加入域,请查看将计算机加入域

    如果计算机未加入域,那么,当该计算机到本地 AD 域控制器的网络连接不受阻碍且用户提供显式凭据时,你仍可使用 AD DS 进行身份验证。 有关详细信息,请参阅从未加入域的 VM 或已加入其他 AD 域的 VM 装载文件共享

  • 选择或创建 Azure 存储帐户。 为了获得最佳性能,建议将存储帐户部署到计划从其访问共享的客户端所在的区域中。 然后,使用存储帐户密钥装载 Azure 文件共享。 如果使用存储帐户密钥进行装载,则会验证连接性。

    确保包含文件共享的存储帐户还没有配置为进行基于标识的身份验证。 如果存储帐户上已启用 AD 源,则必须在启用本地 AD DS 之前将其禁用。

    如果连接到 Azure 文件存储时遇到问题,请查看我们在 Windows 上发布的 Azure 文件存储装载错误排查工具

  • 在为 Azure 文件共享启用和配置 AD DS 身份验证之前,请先完成所有相关网络配置。 有关详细信息,请查看 Azure 文件存储的网络注意事项

概述

如果计划对文件共享启用网络配置,建议先阅读网络注意事项一文并完成相关配置,然后再启用 AD DS 身份验证。

如果为 Azure 文件共享启用 AD DS 身份验证,则可通过本地 AD DS 凭据对 Azure 文件共享进行身份验证。 此外,它还有助于更好地管理权限,实现精细访问控制。 执行此操作需要使用本地 Microsoft Entra Connect Sync 应用程序将标识从本地 AD DS 同步到 Microsoft Entra ID。 使用 Windows ACL 管理文件/目录级访问时,可以为同步到 Microsoft Entra ID 的混合标识分配共享级权限。

请按照以下步骤设置 Azure 文件存储以进行 AD DS 身份验证:

  1. 在存储帐户上启用 AD DS 身份验证

  2. 将共享级别权限分配给与目标 AD 标识同步的 Microsoft Entra 标识(用户、组或服务主体)

  3. 通过 SMB 为目录和文件配置 Windows ACL

  4. 将 Azure 文件共享装载到已加入 AD DS 的 VM

  5. 更新 AD DS 中的存储帐户标识密码

下图说明了通过 SMB 为 Azure 文件共享启用 AD DS 身份验证的端到端工作流。

显示通过 SMB 为 Azure 文件存储进行 AD DS 身份验证的工作流示意图。

用于访问 Azure 文件共享的标识必须同步到 Microsoft Entra ID,这样才能通过 Azure 基于角色的访问控制 (Azure RBAC) 模型执行共享级别文件权限。 或者,可以使用默认的共享级别权限。 从现有文件服务器中执行的文件/目录上的 Windows 样式 DACL 将被保留并强制执行。 这实现了与企业 AD DS 环境的无缝集成。 将本地文件服务器替换为 Azure 文件共享后,现有用户可通过单一登录体验从当前客户端访问 Azure 文件共享,无需更改正在使用的凭据。

后续步骤

若要开始,必须为存储帐户启用 AD DS 身份验证