Si des utilisateurs ne parviennent pas à modifier ou à authentifier des fichiers sur un serveur SMB hébergé par macOS

Vous devrez peut-être confirmer les informations de serveur, les connexions et les informations d’annuaire d’utilisateurs ou modifier leur accès.

Cet article est destiné aux administrateurs système des entreprises et des établissements d’enseignement.

Vérifier les informations du serveur

Assurez-vous que le nom d’utilisateur, le mot de passe et le nom d’hôte ou adresse IP du serveur utilisés sont corrects.

Établir une liaison avec le même service d’annuaire que le serveur

Si le serveur macOS exécute Open Directory ou est lié au service d’annuaire Open Directory ou Active Directory, établissez une liaison authentifiée avec le même serveur d’annuaire. Cela permettra aux clients d’utiliser Kerberos et la signature de session. L’authentification à l’aide de Kerberos nécessite également de spécifier le serveur à l’aide du DNS.

Activer NTLMv2 sur Open Directory

Si vous êtes dans Open Directory et que les clients ne peuvent pas être liés au maître Open Directory, il peut être nécessaire d’activer NTLMv2.

  1. Déterminez quels mécanismes d’authentification sont activés pour le maître Open Directory à l’aide de la commande Terminal suivante : 
    dscl /LDAPv3/127.0.0.1 -read /config/dirserv apple-enabled-auth-mech
  2. Saisissez le mot de passe de l’administrateur du service d’annuaire. Vous pouvez réinitialiser le mot de passe de l’administrateur Open Directory si nécessaire.
  3. Arrêtez et redémarrez Open Directory dans Server.app.

Si SMB-NTLMv2 n’apparaît pas dans les résultats, vous pouvez l’ajouter manuellement à l’aide de la commande Terminal suivante :

dscl -u diradmin -p /LDAPv3/127.0.0.1 -append /Config/dirserv apple-enabled-auth-mech SMB-NTLMv2

Vérifier que les utilisateurs peuvent accéder au serveur SMB

  1. Exécutez la commande Terminal suivante sur le serveur SMB pour vérifier si l’accès est restreint à des utilisateurs spécifiques :
    dscl . read /Groups/com.apple.access_smb
  2. Déterminez l’identificateur global unique (GUID) de l’utilisateur :
    dscl /Search read /Users/<username> GeneratedUID
  3. Ajoutez l’utilisateur à la liste de contrôle d’accès du service SMB (SACL) : 
    sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembership <username>
    sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembers <guid>
    

Si vous souhaitez supprimer la liste SACL, exécutez la commande Terminal suivante :

sudo dscl /Local/Default delete /Groups/com.apple.access_smb

Confirmer l’accès au partage

Vérifiez que les utilisateurs peuvent accéder à au moins un partage dans les préférences de partage, soit via un groupe, soit en tant qu’utilisateurs individuels. 

Vérifiez les ACL en lecture/écriture

Si les utilisateurs ne peuvent pas écrire sur les partages auxquels ils ont accès, désactivez temporairement l’accès invité sur le partage. Ainsi, les utilisateurs ne pourront pas se connecter en tant qu’invités. La configuration de l’accès invité s’effectue dans les options avancées de partage de fichiers.

Si les utilisateurs peuvent ajouter de nouveaux fichiers, mais pas modifier ceux qui ont été créés par d’autres utilisateurs, vous devrez peut-être créer une liste de contrôle d’accès (ACL) de groupe. Pour l’ajouter, exécutez la ligne de commande suivante en remplaçant le nom du groupe et le chemin d’accès au point de partage par leurs valeurs réelles :

sudo chmod -R +a “group:YourGroupName:allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit” /Volumes/volumename/path/to/share
Date de publication: