Ak používatelia nemôžu upravovať alebo autentifikovať súbory na serveri SMB hostenom v systéme macOS

Možno budete musieť potvrdiť informácie o serveri používateľa, pripojenia a podrobnosti o adresári alebo upraviť prístup.

Tento článok je určený pre správcov podnikových systémov a systémov vzdelávacích inštitúcií.

Overte informácie o serveri

Uistite sa, že používatelia používajú správne používateľské meno, heslo a názov hostiteľa alebo IP adresu servera.

Vytvorte väzbu s tým istým adresárom ako server

Ak je na serveri macOS spustená služba Open Directory alebo ak je zviazaný so službou Open Directory či Active Directory, vytvorte overenú väzbu s tým istým adresárovým serverom. Klientom to umožní využívať protokol Kerberos a podpisovanie relácií. Autentifikácia pomocou protokolu Kerberos taktiež vyžaduje, aby ste server určili pomocou DNS.

Zapnite protokol NTLMv2 v službe Open Directory

Ak pracujete so službou Open Directory a klienti nemôžu vytvoriť väzbu s hlavným systémom služby Open Directory, bude pravdepodobne potrebné zapnúť protokol NTLMv2.

  1. Pomocou nasledujúceho príkazu terminálu určite, ktoré mechanizmy autentifikácie sú zapnuté pre hlavný server Open Directory:

    dscl /LDAPv3/127.0.0.1 -read /config/dirserv apple-enabled-auth-mech

  2. Zadajte heslo správcu adresára. Podľa potreby môžete resetovať heslo správcu Open Directory.

  3. Zastavte a reštartujte službu Open Directory v aplikácii Server.app.

Ak vo výsledkoch nie je uvedený protokol SMB-NTLMv2, môžete ho pridať manuálne pomocou nasledujúceho príkazu Terminálu:

dscl -u diradmin -p /LDAPv3/127.0.0.1 -append /Config/dirserv apple-enabled-auth-mech SMB-NTLMv2

Uistite sa, že používatelia majú prístup k serveru SMB

  1. Spustite nasledujúci príkaz terminálu na serveri SMB a zistite, či je prístup obmedzený na konkrétnych používateľov:

    dscl . read /Groups/com.apple.access_smb

  2. Určite identifikátor GUID používateľa:

    dscl /Search read /Users/ GeneratedUID

  3. Pridajte používateľa do zoznamu riadenia prístupu k službám SMB (SACL):

    sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembership sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembers

Ak chcete zoznam SACL odstrániť, použite nasledujúci príkaz Terminálu:

sudo dscl /Local/Default delete /Groups/com.apple.access_smb

Potvrďte prístup ku zdieľanej jednotke

Uistite sa, že používatelia majú prístup aspoň k jednej zdieľanej jednotke v predvoľbách zdieľania v rámci skupiny alebo ako samostatný používateľ.

Skontrolujte zoznamy riadenia prístupu pre čítanie/zápis

Ak používatelia nemôžu zapisovať na zdieľané jednotky, ku ktorým majú prístup, dočasne vypnite prístup hosťov ku zdieľaným jednotkám. Tým sa zaistí, že sa nebudú môcť pripojiť ako hostia. Prístup hosťa spadá pod rozšírené možnosti zdieľania súborov.

Ak používatelia môžu pridávať nové súbory, no nemôžu upravovať súbory vytvorené inými používateľmi, bude možno potrebné vytvoriť zoznam riadenia prístupu (ACL) na úrovni skupiny. Ak chcete pridať zoznam riadenia prístupu, použite nasledujúci príkaz na príkazovom riadku a nahraďte názov skupiny a cestu k bodu zdieľania skutočnými hodnotami:

sudo chmod -R +a "group:YourGroupName allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit" /Volumes/volumename/path/to/share

Dátum zverejnenia: