Si des utilisateurs ne parviennent pas à modifier ou à authentifier des fichiers sur un serveur SMB hébergé par macOS
Vous devrez peut-être confirmer les informations de serveur, les connexions et les informations d’annuaire d’utilisateurs ou modifier leur accès.
Cet article est destiné aux administrateurs système des entreprises et des établissements d’enseignement.
Vérifier les informations du serveur
Assurez-vous que le nom d’utilisateur, le mot de passe et le nom d’hôte ou adresse IP du serveur utilisés sont corrects.
Établir une liaison avec le même service d’annuaire que le serveur
Si le serveur macOS exécute Open Directory ou est relié au service d’annuaire Open Directory ou Active Directory, établissez une liaison authentifiée avec le même serveur d’annuaire. Cela permettra aux clients d’utiliser Kerberos et la signature de session. L’authentification à l’aide de Kerberos nécessite également de spécifier le serveur à l’aide du DNS.
Activer NTLMv2 sur Open Directory
Si vous êtes dans Open Directory et que les clients ne peuvent pas être reliés au maître Open Directory, il peut être nécessaire d’activer NTLMv2.
Déterminez quels mécanismes d’authentification sont activés pour le maître Open Directory à l’aide de la commande Terminal suivante :
dscl /LDAPv3/127.0.0.1 -read /config/dirserv apple-enabled-auth-mech
Saisissez le mot de passe de l’administrateur du service d’annuaire. Vous pouvez réinitialiser le mot de passe de l’administrateur Open Directory si nécessaire.
Arrêtez et redémarrez Open Directory dans Server.app.
Si SMB-NTLMv2 n’apparaît pas dans les résultats, vous pouvez l’ajouter manuellement à l’aide de la commande Terminal suivante :
dscl -u diradmin -p /LDAPv3/127.0.0.1 -append /Config/dirserv apple-enabled-auth-mech SMB-NTLMv2
Vérifier que les utilisateurs peuvent accéder au serveur SMB
Exécutez la commande Terminal suivante sur le serveur SMB pour vérifier si l’accès est restreint à des utilisateurs spécifiques :
dscl . read /Groups/com.apple.access_smb
Déterminez l’identificateur global unique (GUID) de l’utilisateur :
dscl /Search read /Users/ GeneratedUID
Ajoutez l’utilisateur à la liste de contrôle d’accès du service SMB (SACL) :
sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembership sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembers
Si vous souhaitez supprimer la liste SACL, exécutez la commande Terminal suivante :
sudo dscl /Local/Default delete /Groups/com.apple.access_smb
Confirmer l’accès au partage
Vérifiez que les utilisateurs peuvent accéder à au moins un partage dans les préférences de partage, soit via un groupe, soit en tant qu’utilisateurs individuels.
Vérifiez les ACL en lecture/écriture
Si les utilisateurs ne peuvent pas écrire sur les partages auxquels ils ont accès, désactivez temporairement l’accès invité sur le partage. Ainsi, les utilisateurs ne pourront pas se connecter en tant qu’invités. La configuration de l’accès invité s’effectue dans les options avancées de partage de fichiers.
Si les utilisateurs peuvent ajouter de nouveaux fichiers, mais pas modifier ceux qui ont été créés par d’autres utilisateurs, vous devrez peut-être créer une liste de contrôle d’accès (ACL) de groupe. Pour l’ajouter, exécutez la ligne de commande suivante en remplaçant le nom du groupe et le chemin d’accès au point de partage par leurs valeurs réelles :
sudo chmod -R +a "group:YourGroupName allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit" /Volumes/volumename/path/to/share