Introducción: autenticación de Active Directory Domain Services local en SMB para recursos compartidos de archivos de Azure

  • Artículo
  • Tiempo de lectura: 6 minutos

Azure Files admite la autenticación basada en identidades para recursos compartidos de archivos de Windows a través del Bloque de mensajes del servidor (SMB) con el protocolo de autenticación Kerberos mediante los tres métodos siguientes:

  • Active Directory Domain Services (AD DS) local
  • Azure Active Directory Domain Services (Azure AD DS)
  • Kerberos de Azure Active Directory (Azure AD) para identidades de usuario híbridas

Se recomienda encarecidamente consultar la sección Funcionamiento para seleccionar el origen de AD adecuado para la autenticación. La instalación es diferente en función del servicio de dominio que se elija. Este artículo se centra en la habilitación y configuración de Azure AD DS local para la autenticación con recursos compartidos de archivos de Azure.

Si no está familiarizado con Azure Files, se recomienda que lea la guía de planeamiento.

Se aplica a

Tipo de recurso compartido de archivos SMB NFS
Recursos compartidos de archivos Estándar (GPv2), LRS/ZRS Sí No
Recursos compartidos de archivos Estándar (GPv2), GRS/GZRS Sí No
Recursos compartidos de archivos Premium (FileStorage), LRS/ZRS Sí No

Escenarios y restricciones admitidos

  • Las identidades de AD DS que se usen para la autenticación de AD DS local de Azure Files deben sincronizarse con Azure AD o usar un permiso de nivel de recurso compartido predeterminado. La sincronización de hash de contraseña es opcional.
  • Admite recursos compartidos de archivos de Azure administrados por Azure File Sync.
  • Admite la autenticación Kerberos con AD y con cifrado AES 256 (recomendado) y RC4-HMAC. Todavía no se admite el cifrado de Kerberos con AES 128.
  • Admite la experiencia de inicio de sesión único.
  • Solo se admite en clientes que ejecutan versiones del sistema operativo Windows 8 o Windows Server 2012 o versiones más recientes.
  • Solo se admite en el bosque de AD en el que está registrada la cuenta de almacenamiento. De forma predeterminada, solo se puede acceder a los recursos compartidos de archivos de Azure con las credenciales de AD DS desde un solo bosque. Si necesita acceso al recurso compartido de archivos de Azure desde otro bosque, asegúrese de tener configurada la confianza de bosque adecuada. Para más información, consulte las preguntas más frecuentes.
  • No se admite la asignación de permisos de nivel de recurso compartido a cuentas de equipo (cuentas de máquina) con RBAC de Azure. Puede usar un permiso de nivel de recurso compartido predeterminado para permitir que las cuentas de equipo accedan al recurso compartido o considerar la posibilidad de usar una cuenta de inicio de sesión del servicio en su lugar.
  • No admite la autenticación en recursos compartidos de archivos de Network File System (NFS).
  • No admite el uso de CNAME para montar recursos compartidos de archivos.

Al habilitar AD DS para recursos compartidos de archivos de Azure en SMB, las máquinas unidas a AD DS pueden montar recursos compartidos de archivos de Azure con sus credenciales de AD DS existentes. Esta funcionalidad se puede habilitar con un entorno de AD DS hospedado en máquinas del entorno local o en una máquina virtual (VM) en Azure.

Vídeos

Con el fin de ayudarle a configurar la autenticación basada en la identidad para algunos casos de uso comunes, hemos publicado dos vídeos con una guía paso a paso para los siguientes escenarios:

Reemplazo de servidores de archivos locales por Azure Files (incluida la configuración en un vínculo privado para la autenticación de archivos y AD) Uso de Azure Files como contenedor de perfiles para Azure Virtual Desktop (incluida la configuración de la autenticación de AD y la configuración de FSLogix)
Presentación en pantalla del vídeo sobre cómo reemplazar servidores de archivos locales: haga clic para reproducirlo. Presentación en pantalla del vídeo sobre cómo usar Azure Files como el contenedor de perfiles: haga clic para reproducirlo.

Requisitos previos

Antes de habilitar la autenticación de AD DS para los recursos compartidos de archivos de Azure, asegúrese de que cumple los siguientes requisitos previos:

  • Seleccione o cree el entorno de AD DS y sincronícelo con Azure AD mediante la aplicación de sincronización de Azure AD Connect local o Azure AD Connect Cloud Sync, un agente ligero que se puede instalar desde el Centro de Administración de Azure Active Directory.

    La característica se puede habilitar en un entorno de AD DS nuevo o existente. Las identidades que se usen para el acceso deben sincronizarse con Azure AD o usar un permiso de nivel de recurso compartido predeterminado. El inquilino de Azure AD y el recurso compartido de archivos al que accede debe estar asociado con la misma suscripción.

  • Unir una máquina local o una máquina virtual de Azure por dominio a un AD DS local. Para información acerca de cómo unirse a un dominio, consulte Unión de un equipo a un dominio.

    Si una máquina no está unida a un dominio, todavía puede usar AD DS para la autenticación si la máquina tiene línea de visión con el controlador de dominio de AD local y el usuario proporciona credenciales explícitas. Para obtener más información, consulte Montar un recurso compartido de archivos desde una máquina virtual unida al dominio.

  • Seleccione o cree una cuenta de almacenamiento de Azure. Para conseguir un rendimiento óptimo, se recomienda implementar la cuenta de almacenamiento en la misma región que el cliente desde el que vaya a acceder al recurso compartido. A continuación, monte el recurso compartido de archivos de Azure con la clave de la cuenta de almacenamiento. Al montar con la clave de la cuenta de almacenamiento, se comprueba la conectividad.

    Asegúrese de que la cuenta de almacenamiento que contiene los recursos compartidos de archivos no esté aún configurada para la autenticación basada en la identidad. Si ya hay un origen de AD habilitado en la cuenta de almacenamiento, debe deshabilitarlo antes de habilitar AD DS local.

    Si tiene problemas para conectarse a Azure Files, vea la herramienta de solución de problemas publicada para solucionar los errores de montaje de Azure Files en Windows.

  • Realice una configuración de red relevante antes de habilitar y configurar la autenticación de AD DS en los recursos compartidos de archivos de Azure. Consulte Consideraciones de redes para Azure Files para obtener más información.

Disponibilidad regional

La autenticación de Azure Files con AD DS está disponible en todas las regiones públicas, en China y en las de Azure Government.

Información general

Si planea habilitar configuraciones de red en el recurso compartido de archivos, se recomienda que lea el artículo sobre consideraciones de redes y que complete la configuración relacionada antes de habilitar la autenticación de AD DS.

Habilitar la autenticación de AD DS para los recursos compartidos de archivos de Azure le permite autenticarse en los recursos compartidos de archivos de Azure con las credenciales de AD DS local. Además, le permite administrar mejor los permisos para permitir el control de acceso granular. Hacer esto requiere la sincronización de identidades de AD DS local con Azure AD mediante la aplicación de sincronización de Azure AD Connect local o Azure AD Connect Cloud Sync, un agente ligero que se puede instalar desde el Centro de Administración de Azure Active Directory. Debe asignar permisos de nivel de recurso compartido a identidades híbridas sincronizadas con Azure AD al administrar el acceso de nivel de archivo o directorio mediante listas ACL de Windows.

Siga estos pasos para configurar Azure Files para la autenticación de AD DS:

  1. Habilitación de la autenticación con AD DS en la cuenta de almacenamiento

  2. Asignación de permisos de nivel de recurso compartido a la identidad de Azure AD (usuario, grupo o entidad de servicio) que está sincronizada con la identidad de AD de destino

  3. Configuración de ACL de Windows en SMB para directorios y archivos

  4. Monte un recurso compartido de archivos de Azure en una VM unida a su AD DS.

  5. Actualice la contraseña de la identidad de la cuenta de almacenamiento en AD DS.

En el diagrama siguiente se ilustra el flujo de trabajo completo para habilitar la autenticación de Azure AD DS a través de SMB para Azure Files.

Diagrama de flujo de trabajo de AD de Files

Las identidades que se usan para acceder a los recursos compartidos de archivos de Azure se deben sincronizar con Azure AD para aplicar los permisos de archivo de nivel de recurso compartido mediante el modelo de control de acceso basado en roles de Azure (Azure RBAC). También puede usar un permiso de nivel de recurso compartido predeterminado. Se conservarán y aplicarán las DACL tipo Windows en archivos o directorios transferidos desde servidores de archivos existentes. Esto ofrece una perfecta integración con el entorno de AD DS de la empresa. A medida que reemplaza los servidores de archivos locales por recursos compartidos de archivos de Azure, los usuarios existentes pueden acceder a estos desde sus clientes actuales con una experiencia de inicio de sesión único, sin ningún cambio en las credenciales en uso.

Pasos siguientes

Para empezar, debe habilitar la autenticación de AD DS para la cuenta de almacenamiento.