Ако потребителите не могат да редактират или удостоверяват файлове в SMB с macOS

Може да се наложи да потвърдите информация за сървъра на потребителя, връзки и подробности за директория или да коригирате достъпа.

Тази статия е предназначена за системни администратори в стопански и образователни институции.

Проверка на информацията за сървъра

Уверете се, че потребителите имат правилното потребителско име, парола и име на хост или IP адрес на сървъра.

Обвързване със същата директория като сървъра

Ако macOS сървърът работи с Open Directory или е обвързан към Open Directory или Active Directory, извършете удостоверено обвързване към същия сървър на директории. Това ще позволи на клиентите да използват Kerberos и да подпишат сесията. Удостоверяването с помощта на Kerberos също изисква да посочите сървъра с помощта на DNS.

Включване на NTLMv2 в Open Directory

Ако сте в Open Directory и клиентите не могат да бъдат обвързани с главния администратор на Open Directory, може би трябва да се включи NTLMv2.

  1. Определете кои механизми за удостоверяване са включени за главната Open Directory като използвате следната команда Terminal: 
    dscl /LDAPv3/127.0.0.1 -read /config/dirserv apple-enabled-auth-mech
  2. Въведете паролата на администратора на директорията. Можете да нулирате паролата на администратора на Open Directory според нуждите.
  3. Спрете и рестартирайте Open Directory в Server.app.

Ако SMB-NTLMv2 не е посочен в резултатите, можете да го добавите ръчно, използвайки следната Terminal команда:

dscl -u diradmin -p /LDAPv3/127.0.0.1 -append /Config/dirserv apple-enabled-auth-mech SMB-NTLMv2

Уверете се, че потребителите имат достъп до SMB сървъра

  1. Изпълнете следната Terminal команда на SMB сървъра, за да видите дали достъпът е ограничен до конкретни потребители:
    dscl . read /Groups/com.apple.access_smb
  2. Определяне на GUID на потребителя:
    dscl /Search read /Users/<username> GeneratedUID
  3. Добавете потребителя към списъка за контрол на достъпа до SMB услуга (SACL): 
    sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembership <username>
    sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembers <guid>
    

Ако искате да премахнете SACL, използвайте следната Terminal команда:

sudo dscl /Local/Default delete /Groups/com.apple.access_smb

Потвърждаване на достъпа за споделяне

Проверете дали потребителите имат достъп до поне едно споделяне в предпочитанията за споделяне, по група или като индивидуален потребител. 

Проверка на ACL за четене/запис

Ако потребителите не могат да пишат на споделяния, до които имат достъп, временно изключете достъпа на гостите до споделянето. Това ще гарантира, че те не се свързват като гости. Достъпът за гости е под разширените опции за споделяне на файлове.

Ако потребителите могат да добавят нови файлове, но не редактират файлове, направени от други потребители, може да се наложи да създадете списък за контрол на достъпа на групово ниво (ACL). За да добавите ACL, използвайте следния команден ред и заменете името на групата и пътя към точката на споделяне с техните действителни стойности:

sudo chmod -R +a “group:YourGroupName:allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit” /Volumes/volumename/path/to/share
Дата на публикуване: