Když uživatelé nemohou měnit nebo ověřovat soubory na SMB serveru hostovaném v macOS

Někdy můžete potřebovat zkontrolovat uživatelské informace o serveru, spojení a adresáři nebo upravit nastavení přístupu.

Tento článek je určen správcům firemních a školních sítí.

Ověření informací o serveru

Zkontrolujte, že uživatelé mají správné uživatelské jméno, heslo a název hostitele nebo IP adresu serveru.

Vazba na stejný adresář jako server

Pokud na serveru macOS běží Open Directory nebo je vázán na Open Directory nebo Active Directory, proveďte ověřenou vazbu ke stejnému adresářovému serveru. Klientům to umožní používat Kerberos a podpisování relace. Ověřování pomocí protokolu Kerberos také vyžaduje, abyste určili server pomocí DNS.

Zapnutí NTLMv2 v Open Directory

Pokud používáte Open Directory a klienti nemohou být vázáni na master Open Directory, možná bude nutné zapnout NTLMv2.

  1. Následujícím příkazem v Terminálu určete, které autentizační mechanismy jsou pro master Open Directory zapnuté: 
    dscl /LDAPv3/127.0.0.1 -read /config/dirserv apple-enabled-auth-mech
  2. Zadejte heslo správce adresáře. Je-li to třeba, můžete resetovat heslo správce Open Directory.
  3. Zastavte a restartujte Open Directory v aplikaci Server.app.

Pokud se mezi výsledky protokol SMB-NTLMv2 neobjeví, můžete ho přidat ručně následujícím příkazem v Terminálu:

dscl -u diradmin -p /LDAPv3/127.0.0.1 -append /Config/dirserv apple-enabled-auth-mech SMB-NTLMv2

Kontrola, jestli mají uživatelé k serveru SMB přístup

  1. Spusťte v Terminálu serveru SMB následující příkaz a zjistěte, zda je přístup omezen na konkrétní uživatele:
    dscl . read /Groups/com.apple.access_smb
  2. Zjistěte GUID uživatele:
    dscl /Search read /Users/<username> GeneratedUID
  3. Přidejte uživatele do seznamu řízení přístupu služby SMB (SACL): 
    sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembership <username>
    sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembers <guid>
    

Pokud chcete SACL odebrat, zadejte v Terminálu tento příkaz:

sudo dscl /Local/Default delete /Groups/com.apple.access_smb

Kontrola přístupu ke sdílené položce

Zkontrolujte, že uživatelé mají přístup alespoň k jedné sdílené položce v předvolbách sdílení, a to buď jako skupina, nebo jako individuální uživatelé. 

Kontrola ACL pro čtení a zápis

Pokud uživatelé nemohou zapisovat do sdílených složek, ke kterým mají přístup, zkuste dočasně ke sdílené složce vypnout přístup pro hosty. To zajistí, že se uživatelé nepřipojí jen jako hosté. Přístup pro hosty najdete v pokročilých možnostech sdílení.

Pokud uživatelé mohou vytvářet nové soubory, ale upravovat soubory vytvořené jinými uživateli, možná budete muset vytvořit seznam řízení přístupu (ACL) na úrovni skupiny. Chcete-li přidat ACL, použijte následující příkaz a nahraďte název skupiny (YourGroupName) a cestu ke sdílené položce skutečnými hodnotami:

sudo chmod -R +a “group:YourGroupName:allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit” /Volumes/volumename/path/to/share
Datum zveřejnění: