Dit artikel is bedoeld voor systeembeheerders bij bedrijven en onderwijsinstellingen.
Serverinformatie controleren
Zorg ervoor dat gebruikers de juiste gebruikersnaam, wachtwoord en hostnaam of IP-adres van de server hebben.
Koppelen aan dezelfde directory als de server
Als op de macOS-server Open Directory wordt uitgevoerd of deze is gekoppeld aan Open Directory of Active Directory, voert u een koppeling met identiteitscontrole uit aan dezelfde directoryserver. Hierdoor kunnen clients Kerberos en sessie-ondertekening gebruiken. Voor identiteitscontrole door Kerberos moet u ook de server opgeven door middel van DNS.
NTLMv2 inschakelen in Open Directory
Als u Open Directory gebruikt en clients niet kunnen worden gekoppeld aan de Open Directory-master, moet NTLMv2 mogelijk worden ingeschakeld.
- Bepaal welke methoden voor identiteitscontrole zijn ingeschakeld voor de Open Directory-master. Gebruik hiervoor het volgende Terminal-commando:
dscl /LDAPv3/127.0.0.1 -read /config/dirserv apple-enabled-auth-mech - Voer het wachtwoord van de directorybeheerder in. U kunt indien nodig het wachtwoord van de Open Directory-beheerder opnieuw instellen.
- Stop Open Directory en start het opnieuw in de Server-app.
Als SMB-NTLMv2 niet bij de resultaten wordt vermeld, kunt u dit handmatig toevoegen met het volgende Terminal-commando:
dscl -u diradmin -p /LDAPv3/127.0.0.1 -append /Config/dirserv apple-enabled-auth-mech SMB-NTLMv2
Controleren of gebruikers toegang hebben tot de SMB-server
- Voer het volgende Terminal-commando uit op de SMB-server om te zien of de toegang is beperkt tot specifieke gebruikers:
dscl . read /Groups/com.apple.access_smb - Bepaal de GUID van de gebruiker:
dscl /Search read /Users/<username> GeneratedUID - Voeg de gebruiker toe aan de SACL (Service Access Control List) voor SMB:
sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembership <username> sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembers <guid>
Als u de SACL wilt verwijderen, gebruikt u het volgende Terminal-commando:
sudo dscl /Local/Default delete /Groups/com.apple.access_smb
De toegang tot de share bevestigen
Controleer of gebruikers toegang hebben tot ten minste één share in de deelvoorkeuren, als lid van een groep of als individuele gebruiker.
De ACL's voor lezen/schrijven controleren
Als gebruikers niet kunnen schrijven naar shares waartoe ze toegang hebben, schakelt u gasttoegang tot de share tijdelijk uit. Dit zorgt ervoor dat ze geen verbinding maken als gast. Gasttoegang vindt u onder de geavanceerde opties voor bestandsdeling.
Als gebruikers wel nieuwe bestanden kunnen toevoegen, maar geen bestanden kunnen bewerken die door andere gebruikers zijn gemaakt, moet u mogelijk een Access Control List (ACL) op groepsniveau maken. Om de ACL toe te voegen, gebruikt u de volgende commandoregel, waarbij u de groepsnaam en het pad naar het deelpunt vervangt door de werkelijke waarden:
sudo chmod -R +a “group:YourGroupName:allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit” /Volumes/volumename/path/to/share