Když uživatelé nemohou měnit nebo ověřovat soubory na SMB serveru hostovaném v macOS

Někdy můžete potřebovat zkontrolovat uživatelské informace o serveru, spojení a adresáři nebo upravit nastavení přístupu.

Tento článek je určen správcům firemních a školních sítí.

Ověření informací o serveru

Zkontrolujte, že uživatelé mají správné uživatelské jméno, heslo a název hostitele nebo IP adresu serveru.

Vazba na stejný adresář jako server

Pokud na macOS Serveru běží Open Directory nebo je vázán na Open Directory nebo Active Directory, proveďte ověřenou vazbu ke stejnému adresářovému serveru. Klientům to umožní používat Kerberos a podpisování relace. Ověřování pomocí protokolu Kerberos také vyžaduje, abyste určili server pomocí DNS.

Zapnutí NTLMv2 v Open Directory

Pokud používáte Open Directory a klienti nemohou být vázáni na master Open Directory, možná bude nutné zapnout NTLMv2.

  1. Pomocí následujícího příkazu Terminálu určete, které ověřovací mechanismy jsou zapnuté pro hlavní server Open Directory:

    dscl /LDAPv3/127.0.0.1 -read /config/dirserv apple-enabled-auth-mech

  2. Zadejte heslo správce adresáře. Je-li to třeba, můžete resetovat heslo správce Open Directory.

  3. Zastavte a restartujte Open Directory v aplikaci Server.app.

Pokud se mezi výsledky protokol SMB-NTLMv2 neobjeví, můžete ho přidat ručně následujícím příkazem v Terminálu:

dscl -u diradmin -p /LDAPv3/127.0.0.1 -append /Config/dirserv apple-enabled-auth-mech SMB-NTLMv2

Kontrola, jestli mají uživatelé k SMB serveru přístup

  1. Spusťte v Terminálu SMB serveru následující příkaz a zjistěte, zda je přístup omezen na konkrétní uživatel:

    dscl . read /Groups/com.apple.access_smb

  2. Určete GUID uživatele:

    dscl /Search read /Users/ GeneratedUID

  3. Přidejte uživatele na seznam řízení přístupu ke službám SMB (SACL):

    sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembership sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembers

Pokud chcete SACL odebrat, zadejte v Terminálu tento příkaz:

sudo dscl /Local/Default delete /Groups/com.apple.access_smb

Kontrola přístupu ke sdílené položce

Zkontrolujte, že uživatelé mají přístup alespoň k jedné sdílené položce v předvolbách sdílení, a to buď jako skupina, nebo jako individuální uživatelé.

Kontrola ACL pro čtení a zápis

Pokud uživatelé nemohou zapisovat do sdílených složek, ke kterým mají přístup, zkuste dočasně ke sdílené složce vypnout přístup pro hosty. To zajistí, že se uživatelé nepřipojí jen jako hosté. Přístup pro hosty najdete v pokročilých možnostech sdílení.

Pokud uživatelé mohou vytvářet nové soubory, ale ne upravovat soubory vytvořené jinými uživateli, možná budete muset vytvořit seznam řízení přístupu (ACL) na úrovni skupiny. Chcete-li přidat ACL, použijte následující příkaz a nahraďte název skupiny (YourGroupName) a cestu ke sdílené položce skutečnými hodnotami:

sudo chmod -R +a "group:YourGroupName allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit" /Volumes/volumename/path/to/share

Datum zveřejnění: