Si les utilisateurs ne sont pas en mesure de modifier ou d’authentifier des fichiers de SMB hébergé sous macOS

Vous pourriez avoir besoin de confirmer les renseignements sur le serveur d’un utilisateur, les connexions ainsi que les informations relativement aux répertoires ou modifier les accès.

Cet article est destiné aux administrateurs système des entreprises et des établissements d’enseignement.

Vérifier les renseignements sur le serveur

Assurez-vous que les utilisateurs possèdent les bons nom d’utilisateur, mot de passe et nom d’hôte ou adresse IP du serveur.

Se relier au même répertoire que le serveur

Si le serveur macOS exécute Open Directory ou est relié à Open Directory ou à Active Directory, établissez un lien authentifié au même serveur de répertoire. Cela permettra aux clients d’utiliser Kerberos et d’effectuer une signature de session. L’authentification à l’aide de Kerberos requiert également que vous spécifiez le serveur qui utilise DNS.

Activer NTLMv2 sur Open Directory

Si vous êtes dans Open Directory et que les clients ne peuvent être liés à Open Directory (maître), vous pourriez devoir activer NTLMv2.

  1. Déterminez les mécanismes d’authentification qui sont activés pour Open Directory (maître) à l’aide de la commande suivante de Terminal : 
    dscl /LDAPv3/127.0.0.1 -read /config/dirserv apple-enabled-auth-mech
  2. Saisissez le mot de passe de l’administrateur du répertoire. Vous pouvez réinitialiser le mot de passe administrateur Open Directory s’il y a lieu.
  3. Arrêtez et redémarrez Open Directory dans l’application Server.

Si SMB-NTLMv2 ne s’affiche pas dans la liste des résultats, vous pouvez l’ajouter manuellement à l’aide de la commande suivante de Terminal :

dscl -u diradmin -p /LDAPv3/127.0.0.1 -append /Config/dirserv apple-enabled-auth-mech SMB-NTLMv2

S’assurer que les utilisateurs peuvent accéder au serveur SMB

  1. Exécutez la commande suivante de Terminal sur le serveur SMB pour voir si l’accès est limité à certains utilisateurs :
    dscl . read /Groups/com.apple.access_smb
  2. Déterminez l’identificateur global unique (GUID) de l’utilisateur :
    dscl /Search read /Users/<nom d’utilisateur> GeneratedUID
  3. Ajoutez l’utilisateur à la liste de contrôle des accès au service SMB (SACL) : 
    sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembership <username>
    sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembers <guid>
    

Si vous désirez supprimer la SACL, utilisez la commande suivante de Terminal :

sudo dscl /Local/Default delete /Groups/com.apple.access_smb

Confirmer l’accès partagé

Vérifiez pour vous assurer que les utilisateurs ont accès à au moins un point de partage dans les préférences de partage, que ce soit au moyen d’un groupe ou en tant qu’utilisateur individuel. 

Vérifier les listes de contrôle d’accès (ACL) de lecture/écriture

Si les utilisateurs ne possèdent pas le droit d’écriture pour des points de partage auxquels ils ont accès, désactivez temporairement l’accès invité pour le point de partage. Cela les empêchera de se connecter en tant qu’invités. L’accès invité se trouve dans les options avancées de partage de fichiers.

Si les utilisateurs peuvent ajouter de nouveaux fichiers, mais ne peuvent pas modifier des fichiers créés par d’autres utilisateurs, vous pourriez devoir créer une ACL de niveau groupe. Pour ajouter l’ACL, utilisez la ligne de commande suivante et remplacez le point de partage par le nom du groupe et le chemin avec leur valeur réelle :

sudo chmod -R +a "group:YourGroupName allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit" /Volumes/volumename/path/to/share
Date de publication: