Тази статия е предназначена за системни администратори в стопански и образователни институции.
Проверка на информацията за сървъра
Уверете се, че потребителите имат правилното потребителско име, парола и име на хост или IP адрес на сървъра.
Обвързване със същата директория като сървъра
Ако macOS сървърът работи с Open Directory или е обвързан към Open Directory или Active Directory, извършете удостоверено обвързване към същия сървър на директории. Това ще позволи на клиентите да използват Kerberos и подписване на сесия. Удостоверяването с помощта на Kerberos също изисква да посочите сървъра с помощта на DNS.
Включване на NTLMv2 в Open Directory
Ако сте в Open Directory и клиентите не могат да бъдат обвързани с главната Open Directory, може да е необходимо да се включи NTLMv2.
- Определете кои механизми за удостоверяване са включени за главната Open Directory, като използвате следната команда Terminal:
dscl /LDAPv3/127.0.0.1 -read /config/dirserv apple-enabled-auth-mech
- Въведете паролата на администратора на директорията. Можете да нулирате паролата на администратора на Open Directory според нуждите.
- Спрете и рестартирайте Open Directory в Server.app.
Ако SMB-NTLMv2 не фигурира в резултатите, можете да го добавите ръчно, използвайки следната Terminal команда:
dscl -u diradmin -p /LDAPv3/127.0.0.1 -append /Config/dirserv apple-enabled-auth-mech SMB-NTLMv2
Уверете се, че потребителите имат достъп до SMB сървъра
- Изпълнете следната Terminal команда на SMB сървъра, за да видите дали достъпът е ограничен до конкретни потребители:
dscl . read /Groups/com.apple.access_smb
- Определяне на GUID на потребителя:
dscl /Search read /Users/<username> GeneratedUID
- Добавете потребителя към списъка за контрол на достъпа до SMB услуга (SACL):
sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembership <username> sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembers <guid>
Ако искате да премахнете SACL, използвайте следната Terminal команда:
sudo dscl /Local/Default delete /Groups/com.apple.access_smb
Потвърждаване на достъпа за споделяне
Проверете дали потребителите имат достъп до поне едно споделяне в предпочитанията за споделяне, по група или като индивидуален потребител.
Проверка на ACL за четене/запис
Ако потребителите не могат да пишат в споделяния, до които имат достъп, временно изключете достъпа на гостите до споделянето. Това ще гарантира, че те не се свързват като гости. Достъпът за гости е под разширените опции за споделяне на файлове.
Ако потребителите могат да добавят нови файлове, но не и да редактират файлове, направени от други потребители, може да се наложи да създадете списък за контрол на достъпа на групово ниво (ACL). За да добавите ACL, използвайте следния команден ред и заменете името на групата и пътя към точката на споделяне с техните действителни стойности:
sudo chmod -R +a "group:YourGroupName allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit" /Volumes/volumename/path/to/share