Als gebruikers geen bestanden op een door macOS gehoste SMB-share kunnen wijzigen of verifiëren

Mogelijk moet je de servergegevens, verbindingen en directorygegevens van een gebruiker bevestigen of toegangsrechten aanpassen.

Dit artikel is bedoeld voor systeembeheerders bij bedrijven en onderwijsinstellingen.

Servergegevens controleren

Zorg ervoor dat gebruikers de juiste gebruikersnaam, wachtwoord en hostnaam of IP-adres van de server hebben.

Koppelen aan dezelfde directory als de server

Als op de macOS-server Open Directory wordt uitgevoerd of als de server is gekoppeld aan Open Directory of Active Directory, voer je een koppeling met identiteitscontrole uit aan dezelfde directoryserver. Hierdoor kunnen clients Kerberos en sessie-ondertekening gebruiken. Voor authenticatie door Kerberos moet je ook de server opgeven door middel van DNS.

NTLMv2 inschakelen in Open Directory

Als je Open Directory gebruikt en clients niet kunnen worden gekoppeld aan de Open Directory-master, moet NTLMv2 mogelijk worden ingeschakeld.

  1. Bepaal welke authenticatiemechanismen zijn ingeschakeld voor de Open Directory-master. Gebruik hiervoor het volgende Terminal-commando:

    dscl /LDAPv3/127.0.0.1 -read /config/dirserv apple-enabled-auth-mech

  2. Voer het wachtwoord van de directorybeheerder in. Je kunt indien nodig het wachtwoord van de Open Directory-beheerder opnieuw instellen.

  3. Stop Open Directory en start de voorziening opnieuw in de Server-app.

Als SMB-NTLMv2 niet bij de resultaten wordt vermeld, kun je dit handmatig toevoegen met het volgende Terminal-commando:

dscl -u diradmin -p /LDAPv3/127.0.0.1 -append /Config/dirserv apple-enabled-auth-mech SMB-NTLMv2

Controleren of gebruikers toegang hebben tot de SMB-server

  1. Voer het volgende Terminal-commando uit op de SMB-server om te zien of de toegang is beperkt tot specifieke gebruikers:

    dscl. read /Groups/com.apple.access_smb

  2. Bepaal de GUID van de gebruiker:

    dscl /Search read /Users/ GeneratedUID

  3. Voeg de gebruiker toe aan de toegangscontrolelijst van de SMB-service (SACL):

    sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembership sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembers

Als je de SACL wilt verwijderen, gebruik je het volgende Terminal-commando:

sudo dscl /Local/Default delete /Groups/com.apple.access_smb

De toegang tot de share bevestigen

Controleer of gebruikers toegang hebben tot ten minste één share in de deelvoorkeuren; als lid van een groep of als individuele gebruiker.

De ACL's voor lezen/schrijven controleren

Als gebruikers niet kunnen schrijven naar shares waartoe ze toegang hebben, schakel je gasttoegang tot de share tijdelijk uit. Dit zorgt ervoor dat ze geen verbinding maken als gast. Gasttoegang vind je onder de geavanceerde opties voor bestandsdeling.

Als gebruikers wel nieuwe bestanden kunnen toevoegen, maar geen bestanden kunnen bewerken die door andere gebruikers zijn gemaakt, moet je mogelijk een toegangscontrolelijst op groepsniveau maken. Om de toegangscontrolelijst toe te voegen, gebruik je de volgende commandoregel, waarbij je de groepsnaam en het pad naar het deelpunt vervangt door de werkelijke waarden:

sudo chmod -R +a "group:groepsnaam allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit" /Volumes/volumenaam/pad/naar/share

Publicatiedatum: