Se gli utenti non riescono a modificare o autenticare i file su un server SMB in hosting su macOS

È possibile che tu debba verificare le informazioni sul server di un utente, le connessioni e i dettagli della directory o modificare l'accesso.

Questo articolo è destinato agli amministratori di sistema dei settori Education ed Enterprise.

Verifica le informazioni sul server

Assicurati che gli utenti dispongano del nome utente, della password e del nome host o dell'indirizzo IP corretti del server.

Esegui il binding alla stessa directory del server

Se il server di macOS esegue Open Directory oppure è associato a Open Directory o Active Directory, esegui un binding autenticato al server della stessa directory. In questo modo, i client potranno utilizzare Kerberos e sarà possibile firmare la sessione. L'autenticazione tramite Kerberos richiede inoltre di specificare il server tramite DNS.

Attiva NTLMv2 su Open Directory

Se ti trovi in Open Directory e non ti è possibile eseguire il binding dei client al master Open Directory, potresti dover attivare NTLMv2.

  1. Individua quali meccanismi di autenticazione sono attivati per il master Open Directory utilizzando il seguente comando di Terminale:

    dscl /LDAPv3/127.0.0.1 -read /config/dirserv apple-enabled-auth-mech

  2. Inserisci la password dell'amministratore della directory. Puoi reimpostare la password dell'amministratore di Open Directory in base alle tue esigenze.

  3. Arresta e riavvia Open Directory in Server.app.

Se SMB-NTLMv2 non è presente nell'elenco dei risultati, puoi aggiungerlo manualmente utilizzando il seguente comando di Terminale:

dscl -u diradmin -p /LDAPv3/127.0.0.1 -append /Config/dirserv apple-enabled-auth-mech SMB-NTLMv2

Assicurati che gli utenti possano accedere al server SMB

  1. Esegui il seguente comando di Terminale sul server SMB per vedere se l'accesso è limitato a utenti specifici:

    dscl . read /Groups/com.apple.access_smb

  2. Individua il GUID dell'utente:

    dscl /Search read /Users/ GeneratedUID

  3. Aggiungi l'utente all'elenco SACL (Service Access Control List) del server SMB:

    sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembership sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembers

Se desideri rimuovere l'elenco SACL, utilizza il seguente comando di Terminale:

sudo dscl /Local/Default delete /Groups/com.apple.access_smb

Verifica l'accesso alla condivisione

Verifica che gli utenti abbiano accesso ad almeno una condivisione nelle preferenze di condivisione (per gruppo o come singolo utente).

Controlla gli elenchi ACL di lettura/scrittura

Se gli utenti non possono scrivere nelle condivisioni a cui hanno accesso, disattiva temporaneamente l'accesso degli ospiti sulla condivisione. In questo modo, puoi assicurarti che gli utenti non si connettano come ospiti. L'accesso degli ospiti è configurabile nelle opzioni avanzate di condivisione file.

Se gli utenti possono aggiungere nuovi file ma non riescono a modificare i file creati da altri utenti, potresti dover creare un elenco ACL (Access Control List) a livello di gruppo. Per aggiungere l'elenco ACL, utilizza la seguente riga di comando e sostituisci il nome e il percorso del gruppo al punto di condivisione con i rispettivi valori effettivi:

sudo chmod -R +a "group:YourGroupName allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit" /Volumes/volumename/path/to/share

Data di pubblicazione: