Če uporabniki ne morejo urejati ali potrditi pristnosti datotek v protokolu SMB, ki gostuje v sistemu macOS

Morda boš moral potrditi uporabnikove podatke o strežniku, povezave in podrobnosti imenika ali prilagoditi dostop.

Ta članek je namenjen skrbnikom sistemov v podjetjih in izobraževalnih ustanovah.

Preverjanje podatkov o strežniku

Preveri, ali imajo uporabniki pravilno uporabniško ime, geslo in ime gostitelja ali naslov IP strežnika.

Vezanje na isti imenik kot strežnik

Če strežnik macOS izvaja imenik Open Directory ali je vezan na imenik Open Directory ali Active Directory, izvedi preverjeno vezavo na isti strežnik imenika. To bo odjemalcem omogočilo uporabo protokola Kerberos in podpisovanje seje. Preverjanje pristnosti s protokolom Kerberos zahteva tudi, da s sistemom DNS navedete strežnik.

Vklop NTLMv2 v imeniku Open Directory

Če ste v imeniku Open Directory in odjemalcev ni mogoče vezati z glavnim imenikom Open Directory, je morda treba vklopiti NTLMv2.

  1. Z naslednjim terminalskim ukazom lahko ugotoviš, kateri mehanizmi preverjanja pristnosti so vklopljeni za glavni imenik Open Directory:

    dscl /LDAPv3/127.0.0.1 -read /config/dirserv apple-enabled-auth-mech

  2. Vnesi geslo skrbnika imenika. Po potrebi lahko ponastaviš geslo skrbnika imenika Open Directory.

  3. Zaustavi in ponovni zaženi imenik Open Directory v Server.app.

Če v rezultatih ni SMB-NTLMv2, ga lahko dodaš ročno s tem ukazom terminala:

dscl -u diradmin -p /LDAPv3/127.0.0.1 -append /Config/dirserv apple-enabled-auth-mech SMB-NTLMv2

Preverjanje, ali lahko uporabniki dostopajo do strežnika SMB

  1. V strežniku SMB zaženi naslednji terminalski ukaz, da preveriš, ali je dostop omejen na določene uporabnike:

    dscl . read /Groups/com.apple.access_smb

  2. Ugotovi uporabnikov GUID:

    dscl /Search read /Users/ GeneratedUID

  3. Dodaj uporabnika na seznam za nadzor dostopa do storitve SMB (SACL):

    sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembership sudo dscl /Local/Default append Groups/com.apple.access_smb GroupMembers

Če želiš odstraniti SACL, uporabi ta ukaz terminala:

sudo dscl /Local/Default delete /Groups/com.apple.access_smb

Potrjevanje dostopa do skupne rabe

Preveri, ali imajo uporabniki dostop do vsaj ene skupne rabe v nastavitvah skupne rabe – skupinsko ali kot posamezen uporabnik.

Preverjanje ACL-jev za branje/pisanje

Če uporabniki ne morejo zapisovati v skupni rabi, do katere imajo dostop, začasno izklopi dostop za goste v skupni rabi. Tako boš zagotovil, da se ne povezujejo kot gosti. Dostop za goste se nahaja pod možnostmi napredne skupne rabe datotek.

Če uporabniki lahko dodajajo nove datoteke, toda ne morejo urejati datotek, ki so jih izdelali drugi uporabniki, boš morda moral ustvariti seznam za nadziranje dostopa (ACL) na ravni skupine. Če želiš dodati ACL, uporabi to ukazno vrstico ter zamenjaj ime skupine in pot do točke skupne rabe z dejanskimi vrednostmi:

sudo chmod -R +a "group:YourGroupName allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit" /Volumes/volumename/path/to/share

Datum objave: