Dit artikel is bedoeld voor systeembeheerders bij bedrijven en onderwijsinstellingen.
Servergegevens controleren
Zorg ervoor dat gebruikers de juiste gebruikersnaam, wachtwoord en hostnaam of IP-adres van de server hebben.
Koppelen aan dezelfde directory als de server
Als op de macOS-server Open Directory wordt uitgevoerd of als de server is gekoppeld aan Open Directory of Active Directory, voert u een koppeling met identiteitscontrole uit aan dezelfde directoryserver. Hierdoor kunnen clients Kerberos en sessie-ondertekening gebruiken. Voor identiteitscontrole door Kerberos moet u ook de server opgeven door middel van DNS.
NTLMv2 inschakelen in Open Directory
Als u Open Directory gebruikt en clients niet kunnen worden gekoppeld aan de Open Directory-master, moet NTLMv2 mogelijk worden ingeschakeld.
- Bepaal welke methoden voor identiteitscontrole zijn ingeschakeld voor de Open Directory-master. Gebruik hiervoor het volgende Terminal-commando:
dscl /LDAPv3/127.0.0.1 -read /config/dirserv apple-enabled-auth-mech
- Voer het wachtwoord van de directorybeheerder in. U kunt indien nodig het wachtwoord van de Open Directory-beheerder opnieuw instellen.
- Stop Open Directory en start de voorziening opnieuw in de Server-app.
Als SMB-NTLMv2 niet bij de resultaten wordt vermeld, kunt u dit handmatig toevoegen met het volgende Terminal-commando:
dscl -u diradmin -p /LDAPv3/127.0.0.1 -append /Config/dirserv apple-enabled-auth-mech SMB-NTLMv2
Controleren of gebruikers toegang hebben tot de SMB-server
- Voer het volgende Terminal-commando uit op de SMB-server om te zien of de toegang is beperkt tot specifieke gebruikers:
dscl . read /Groups/com.apple.access_smb
- Bepaal de GUID van de gebruiker:
dscl /Search read /Users/<gebruikersnaam> GeneratedUID
- Voeg de gebruiker toe aan de SACL (Service Access Control List) voor SMB:
sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembership <username> sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembers <guid>
Als u de SACL wilt verwijderen, gebruikt u het volgende Terminal-commando:
sudo dscl /Local/Default delete /Groups/com.apple.access_smb
De toegang tot de share bevestigen
Controleer of gebruikers toegang hebben tot ten minste één share in de deelvoorkeuren; als lid van een groep of als individuele gebruiker.
De ACL's voor lezen/schrijven controleren
Als gebruikers niet kunnen schrijven naar shares waartoe ze toegang hebben, schakelt u gasttoegang tot de share tijdelijk uit. Dit zorgt ervoor dat ze geen verbinding maken als gast. Gasttoegang vindt u onder de geavanceerde opties voor bestandsdeling.
Als gebruikers wel nieuwe bestanden kunnen toevoegen, maar geen bestanden kunnen bewerken die door andere gebruikers zijn gemaakt, moet u mogelijk een Access Control List (ACL) op groepsniveau maken. Om de ACL toe te voegen, gebruikt u de volgende commandoregel, waarbij u de groepsnaam en het pad naar het deelpunt vervangt door de werkelijke waarden:
sudo chmod -R +a "group:YourGroupName allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit" /Volumes/volumename/path/to/share