Přehled možností ověřování na základě identity souborů Azure pro přístup přes protokol SMB
Soubory Azure podporují ověřování na základě identity přes protokol SMB (Server Message Block) prostřednictvím místních Active Directory Domain Services (služba AD DS) a Azure Active Directory Domain Services (Azure služba AD DS). Tento článek se zaměřuje na to, jak můžou sdílené složky Azure používat doménové služby, a to buď místně, nebo v Azure, k podpoře přístupu na základě identity ke sdíleným složkám Azure přes protokol SMB. Povolení přístupu na základě identity pro sdílené složky Azure vám umožní nahradit stávající souborové servery službou Azure Shared File, aniž byste museli stávající adresářovou službu nahradit, a přitom zajistit bezproblémové uživatelské oprávnění ke sdíleným složkám.
Soubory Azure vynutily autorizaci při přístupu uživatelů ke sdílené složce i k úrovni adresářů a souborů. Přiřazení oprávnění na úrovni sdílené složky se dá provádět u uživatelů Azure Active Directory (Azure AD) nebo skupin spravovaných prostřednictvím modelu řízení přístupu založeného na rolích Azure (Azure RBAC) . V případě RBAC by přihlašovací údaje, které používáte pro přístup k souborům, měly být k dispozici nebo synchronizovány do Azure AD. Uživatelům nebo skupinám v Azure AD můžete přiřadit předdefinované role Azure, jako je soubor úložiště. čtečka sdílení souborů SMB pro udělení oprávnění ke čtení sdílené složky Azure.
Na úrovni adresářů a souborů podporuje Azure Files udržování, dědění a vynucování seznamů DACL , stejně jako všechny souborové servery Windows. Při kopírování dat přes SMB mezi stávající sdílenou složkou a sdílenými složkami Azure se můžete rozhodnout zachovat seznamy DACL. Bez ohledu na to, jestli plánujete autorizaci, můžete k zálohování seznamů ACL spolu s daty použít sdílené složky Azure.
Informace o tom, jak povolit místní ověřování Active Directory Domain Services pro sdílené složky Azure, najdete v tématu Povolení ověřování místní Active Directory Domain Services pomocí protokolu SMB pro sdílené složky Azure.
informace o tom, jak povolit ověřování azure služba AD DS pro sdílené složky azure, najdete v tématu povolení ověřování Azure Active Directory doménových služeb v azure Files.
Platí pro
| Typ sdílené složky | SMB | NFS |
|---|---|---|
| Standardní sdílené složky (GPv2), LRS/ZRS |  |
 |
| Standardní sdílené složky (GPv2), GRS/GZRS | |
|
| Premium sdílené složky (úložiště souborů), LRS/ZRS | |
|
Glosář
Je užitečné pochopit některé klíčové podmínky týkající se ověřování služby Azure AD Domain Services přes SMB pro sdílené složky Azure:
Ověřování protokolu Kerberos
Kerberos je ověřovací protokol, který se používá k ověření identity uživatele nebo hostitele. Další informace o protokolu Kerberos najdete v tématu Přehled ověřování protokolu Kerberos.
Protokol SMB (Server Message Block)
SMB je standardní protokol pro sdílení souborů v síti. SMB se označuje také jako Common Internet File System nebo CIFS. Další informace o protokolu SMB najdete v tématu Přehled protokolu SMB a protokolu CIFS.
Azure Active Directory (Azure AD)
Azure Active Directory (Azure AD) je víceklientské cloudové služby microsoftu a služba pro správu identit založené na víceklientské architektuře. Azure AD kombinuje základní adresářové služby, správu přístupu k aplikacím a ochranu identit do jediného řešení. virtuální počítače Windows připojené k azure ad nemůžou přistupovat ke sdíleným složkám azure pomocí vašich přihlašovacích údajů azure ad. Další informace najdete v tématu co je Azure Active Directory?
služba Azure Active Directory Domain Services (Azure služba AD DS)
Azure služba AD DS poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, LDAP a ověřování pomocí protokolu Kerberos/NTLM. Tyto služby jsou plně kompatibilní s Active Directory Domain Services. další informace najdete v tématu Azure Active Directory Domain Services.
Místní Active Directory Domain Services (služba AD DS)
Integrace s místními Active Directory Domain Services (služba AD DS) se službou Azure Files poskytuje metody pro ukládání dat adresáře a jejich zpřístupnění uživatelům a správcům sítě. Zabezpečení je integrováno do služba AD DS prostřednictvím ověřování přihlášení a řízení přístupu k objektům v adresáři. Pomocí jediného přihlášení k síti můžou správci spravovat data adresáře a organizaci v celé své síti a autorizovaní uživatelé sítě mají přístup k prostředkům kdekoli v síti. Služba AD DS obvykle přijímá podniky v místních prostředích a služba AD DS přihlašovací údaje se používají jako identita pro řízení přístupu. Další informace najdete v tématu přehled Active Directory Domain Services.
Řízení přístupu na základě role Azure (Azure RBAC)
Řízení přístupu na základě role Azure (Azure RBAC) umožňuje jemně odstupňovanou správu přístupu pro Azure. Pomocí Azure RBAC můžete spravovat přístup k prostředkům tím, že uživatelům udělíte nejnižší oprávnění potřebná k provádění svých úloh. Další informace o službě Azure RBAC najdete v tématu co je řízení přístupu na základě role Azure (Azure RBAC)?.
Běžné případy použití
ověřování na základě Identity a podpora Windowsch seznamů acl v souborech Azure se nejlépe využije v následujících případech:
Nahrazení místních souborových serverů
Vyřazení a nahrazování geograficky místních souborových serverů je běžný problém, ke kterému v každé podnikové síti dojde v cestě k modernizaci IT. Sdílené složky Azure s ověřováním v místním služba AD DS jsou nejlépe vyhovující tomuto umístění, když můžete migrovat data do souborů Azure. Kompletní migrace vám umožní využít výhody vysoké dostupnosti a škálovatelnosti a zároveň minimalizovat změny na straně klienta. Poskytuje bezproblémové možnosti migrace koncovým uživatelům, aby mohli nadále přistupovat ke svým datům se stejnými přihlašovacími údaji pomocí jejich stávajících počítačů připojených k doméně.
Nazvednutí a posunutí aplikací do Azure
Při nazvednutí a posunutí aplikací do cloudu chcete zachovat stejný model ověřování pro vaše data. Jak rozšiřujeme prostředí pro řízení přístupu na základě identity na sdílené složky Azure, eliminuje nutnost změnit aplikaci na moderní metody ověřování a urychlit její přijetí. Sdílené složky Azure poskytují možnost integrace s Azure služba AD DS nebo místní služba AD DS pro ověřování. Pokud má váš plán 100% Cloud Native a minimalizuje úsilí při správě cloudových infrastruktur, Azure služba AD DS by byl lépe vhodný jako plně spravovaná Doménová služba. Pokud potřebujete plnou kompatibilitu s funkcemi služba AD DS, možná budete chtít zvážit rozšíření služba AD DS prostředí do cloudu pomocí samoobslužného hostování řadičů domény na virtuálních počítačích. V obou případech nabízíme flexibilitu při výběru doménových služeb, které vyhovují vašim obchodním potřebám.
Zálohování a zotavení po havárii (DR)
Pokud udržujete primární místní úložiště souborů, můžou sdílené složky Azure sloužit jako ideální úložiště pro zálohování nebo zotavení po havárii, aby se zlepšila Kontinuita podnikových prostředí. sdílené složky Azure můžete použít k zálohování dat z existujících souborových serverů a zároveň zachovat Windows dacl. V případě scénářů zotavení po havárii můžete nakonfigurovat možnost ověřování pro podporu správného vynucení řízení přístupu při převzetí služeb při selhání.
Podporované scénáře
Následující tabulka shrnuje podporované scénáře ověřování sdílených složek Azure pro Azure služba AD DS a místní služba AD DS. Pro integraci se soubory Azure doporučujeme vybrat doménovou službu, kterou jste přijali pro klientské prostředí. Pokud jste už služba AD DS místně nebo v Azure, kde jsou vaše zařízení připojená k vaší službě AD, měli byste pro ověřování sdílených složek Azure využít služba AD DS. Podobně pokud jste už služba AD DS Azure, měli byste použít k ověřování sdílených složek Azure.
| Ověřování Azure služba AD DS | Ověřování místní služba AD DS |
|---|---|
| počítače Windows připojené k azure služba AD DS mají přístup ke sdíleným složkám azure pomocí přihlašovacích údajů azure AD přes SMB. | místní služba AD DS připojeni nebo k počítačům Windows připojeným v služba AD DS azure mají přístup ke sdíleným složkám azure pomocí místních přihlašovacích údajů služby Active Directory, které jsou synchronizované s azure AD přes SMB. Váš klient musí mít přehled o vašem služba AD DS. |
Omezení
- Ověřování Azure služba AD DS a místní služba AD DS nepodporují ověřování u účtů počítačů. Místo toho můžete použít účet přihlášení služby.
- U zařízení připojených k Azure AD nebo zařízení registrovaných v Azure AD se nepodporuje ověřování pomocí Azure služba AD DS ani místní ověřování služba AD DS.
- sdílené složky Azure podporují ověřování na základě identity jenom v jedné z následujících doménových služeb, a to buď Azure Active Directory domain services (Azure služba AD DS) , nebo místní Active Directory Domain Services (služba AD DS).
- Pro sdílené složky systému souborů NFS (Network File System) není podporována metoda ověřování na základě identity.
Výhody ověřování na základě identity
Ověřování na základě identity pro soubory Azure nabízí oproti použití ověřování pomocí sdíleného klíče několik výhod:
Rozšiřování klasického prostředí pro přístup ke sdíleným složkám na základě identity v cloudu s místními služba AD DS a Azure služba AD DS
Pokud máte v úmyslu aplikaci zastoupit do cloudu a nahradit tradiční souborové servery službou Azure File Shares, můžete chtít, aby se aplikace ověřovala buď pomocí místních služba AD DS, nebo v Azure služba AD DS pověření pro přístup k datům souborů. Soubory Azure podporuje použití místních služba AD DS nebo přihlašovacích údajů Azure služba AD DS pro přístup ke sdíleným složkám Azure přes protokol SMB z místního prostředí služba AD DS nebo Azure služba AD DS virtuálních počítačů připojených k doméně.Vysazení podrobného řízení přístupu ke sdíleným složkám Azure
Můžete udělit oprávnění ke konkrétní identitě na úrovni sdílených složek, adresářů nebo souborů. Předpokládejme například, že máte několik týmů s jednou sdílenou složkou Azure pro spolupráci s projekty. Všem týmům můžete udělit přístup k necitlivým adresářům a zároveň omezit přístup k adresářům obsahujícím citlivá finanční data jenom na váš finanční tým.zálohování Windows seznamů acl (označované také jako NTFS) společně s vašimi daty
Pomocí sdílených složek Azure můžete zálohovat stávající místní sdílené složky. Soubory Azure při zálohování sdílené složky do sdílených složek Azure pomocí protokolu SMB zachovává vaše seznamy ACL spolu s Vašimi daty.
Jak to funguje
Sdílené složky Azure využívají protokol Kerberos k ověřování pomocí místních služba AD DS nebo Azure služba AD DS. Když se identita přidružená k uživateli nebo aplikaci spuštěné v klientovi pokusí o přístup k datům ve sdílených složkách Azure, pošle se požadavek do doménové služby, buď služba AD DS nebo Azure služba AD DS, a ověří identitu. Pokud je ověření úspěšné, vrátí token protokolu Kerberos. Klient pošle požadavek, který obsahuje token protokolu Kerberos a sdílené složky Azure, k autorizaci žádosti používá tento token. Sdílené složky Azure přijímají pouze tokeny protokolu Kerberos, nikoli přihlašovací údaje pro přístup.
Než budete moct povolit ověřování na sdílených složkách Azure na základě identity, musíte nejdřív nastavit prostředí domény.
AD DS
Pro místní ověřování služba AD DS musíte nastavit řadiče domény AD a připojit se k doméně nebo virtuální počítače. Řadiče domény můžete hostovat na virtuálních počítačích Azure nebo v místním prostředí. V obou případech musí mít klienti připojení k doméně pohled na doménovou službu, takže se musí nacházet v rámci podnikové sítě nebo virtuální sítě (VNET) vaší doménové služby.
Následující diagram znázorňuje místní služba AD DS ověřování sdílených složek Azure pomocí protokolu SMB. služba AD DS prem musí být synchronizované s Azure AD pomocí Azure AD Connect synchronizace. Pro přístup ke sdílené složce Azure můžete ověřovat a autorizovat jenom hybridní uživatelé, kteří existují v místních služba AD DS i v Azure AD. Důvodem je to, že oprávnění na úrovni sdílené složky jsou nakonfigurovaná proti identitě reprezentované ve službě Azure AD, kde se oprávnění na úrovni adresáře nebo souboru vynutilo v služba AD DS. Ujistěte se, že jste správně nakonfigurovali oprávnění proti stejnému hybridnímu uživateli.
Azure AD DS
Pro ověřování Azure služba AD DS byste měli povolit Azure AD Domain Services a připojení k doméně virtuálním počítačům, ze kterých plánujete přístup k datovým souborům. Váš virtuální počítač připojený k doméně se musí nacházet ve stejné virtuální síti (VNET) jako vaše služba AD DS Azure.
Následující diagram představuje pracovní postup pro ověřování Azure služba AD DS ke sdíleným složkám souborů Azure přes protokol SMB. Postupuje podobně jako při ověřování Prem služba AD DS do sdílených složek Azure. Existují dva hlavní rozdíly:
Nejdřív nemusíte vytvářet identitu ve službě Azure služba AD DS, která by představovala účet úložiště. To se provádí v procesu povolení na pozadí.
Za druhé, všichni uživatelé, kteří existují v Azure AD, můžou být ověřeni a autorizováni. Uživatel může být pouze Cloud nebo hybridní. Synchronizace z Azure AD do Azure služba AD DS spravovaná platformou bez nutnosti konfigurace uživatele. Klient musí být ale připojený k doméně Azure služba AD DS, ale nemůže být připojený k Azure AD ani zaregistrován.
Povolit ověřování na základě identity
Ověřování na základě identity můžete povolit buď pomocí Azure služba AD DS, nebo místního služba AD DS pro sdílené složky Azure na vašich nových a existujících účtech úložiště. Pro ověřování přístupu k souborům v účtu úložiště, která platí pro všechny sdílené složky v účtu, se dá použít jenom jedna Doménová služba. podrobné pokyny k nastavení sdílených složek pro ověřování pomocí Azure služba AD DS v našem článku povolení Azure Active Directory ověřování doménových služeb v azure Files a doprovodnéch materiálech pro místní služba AD DS v našem dalším článku povolení místní Active Directory Domain Services ověřování prostřednictvím protokolu SMB pro sdílené složky Azure.
Konfigurace oprávnění na úrovni sdílené složky pro soubory Azure
Jakmile povolíte Azure služba AD DS nebo místní služba AD DS ověřování, můžete použít předdefinované role Azure nebo nakonfigurovat vlastní role pro identity Azure AD a přiřazovat přístupová práva ke všem sdíleným složkám v účtech úložiště. Přiřazené oprávnění umožňuje udělené identitě získat přístup pouze ke sdílené složce, nic jiného, ani kořenovému adresáři. Ke sdíleným složkám Azure se pořád potřebuje samostatně nakonfigurovat oprávnění pro adresáře nebo soubory.
Konfigurace oprávnění adresářů nebo souborů pro soubory Azure
sdílené složky Azure vysazují standardní Windows oprávnění k souborům v adresáři i na úrovni souborů, včetně kořenového adresáře. Konfigurace oprávnění na úrovni adresáře nebo souborů se podporuje přes protokol SMB i REST. připojte cílovou sdílenou složku z virtuálního počítače a nakonfigurujte oprávnění pomocí Windows průzkumníku souborů, Windows icaclsnebo příkazu Set-ACL .
Použijte klíč účtu úložiště pro oprávnění naduživatelem.
Uživatel s klíčem účtu úložiště má přístup ke sdíleným složkám Azure pomocí uživatelských oprávnění. Oprávnění naduživatelem obcházejí všechna omezení řízení přístupu.
Důležité
Doporučeným postupem zabezpečení je vyhnout se sdílení klíčů účtu úložiště a kdykoli je to možné, využití ověřování na základě identity.
Zachování seznamů ACL adresářů a souborů při importu dat do sdílených složek Azure
Azure Files podporuje zachovávání seznamů ACL na úrovni adresáře nebo souborů při kopírování dat do sdílených složek Azure. Seznamy řízení přístupu můžete zkopírovat do složky nebo souboru do sdílených složek Azure pomocí Synchronizace souborů Azure nebo běžných nástrojů pro přesun souborů. Pomocí příkazu Robocopy s /copy:s příznakem můžete například kopírovat data i seznamy ACL do sdílené složky Azure. Seznamy řízení přístupu (ACL) jsou ve výchozím nastavení zachované, nemusíte u svého účtu úložiště povolit ověřování na základě identity, abyste zachovali seznamy ACL.
Ceny
Pro povolení ověřování na základě identity přes protokol SMB v účtu úložiště není k dispozici žádný další poplatek za službu. Další informace o cenách najdete v tématu ceny za Azure Files a ceny Azure AD Domain Services.
Další kroky
Další informace o souborech Azure a ověřování na základě identity přes SMB najdete v těchto zdrojích informací: