本文档介绍如何用macOS客户端挂载SMB文件系统及如何使用macOS客户端通过Kerberos协议访问SMB文件系统。
macOS客户端挂载SMB文件系统
- 通过VPN网关建立VPC到macOS客户端的远程连接。具体操作,请参见Mac客户端远程连接。
- 验证macOS客户端和SMB文件系统挂载点的连通性。
- 验证网络连通性
VPN网关连接后,通过ping命令ping VPC内SMB文件系统挂载点,验证通信是否正常。
说明 如果挂载点无法ping通,则需要通过一台与SMB文件系统在同一VPC下的ECS云服务器ping挂载点得到挂载点IP,使用挂载点IP在macOS上进行挂载操作。 - 验证服务端口连通性
telnet [SMB文件系统挂载点] 445
- 验证网络连通性
- 挂载SMB文件系统。
- 通过macOS客户端图形界面化操作
- 在macOS客户端桌面顶部的Finder栏,单击。
- 在Connect to Server对话框,输入挂载点,单击Connect。
- 在对话框Connect As区域,选中Guest,单击Connect。
- 在macOS客户端桌面顶部的Finder栏,单击,选中myshare页签查看已挂载的SMB文件系统。
说明 挂载完成后,macOS客户端会去读取挂载的NAS中所有文件。文件读取过程中,myshare可能显示为空,请您耐心等待。
- 在macOS客户端桌面顶部的Finder栏,单击。
- 通过macOS客户端命令行操作
执行mount_smbf命令行挂载SMB文件系统。示例如下:
其中mount_smbfs '//guest@nas-mount-point.nas.aliyuncs.com/myshare' /Volumes/myshare/nas-mount-point.nas.aliyuncs.com为SMB文件系统的专有网络挂载点。如下图返回示例,即为挂载成功。
- 通过macOS客户端图形界面化操作
macOS客户端通过Kerberos协议访问SMB文件系统
SMB文件系统默认只支持NTLM鉴权协议,无论macOS客户端以什么身份挂载,鉴权后得到的身份均为Everyone,默认拥有所有权限。而阿里云NAS SMB文件系统支持基于AD域的用户身份认证和文件系统级别的权限访问控制。您可以通过以下步骤控制不同用户访问SMB文件系统的权限。
- 添加VPN SSL网段到安全组。具体操作,请参见添加安全组规则。请您在ECS实例的安全组中添加如下端口权限,确保macOS客户端的DNS请求和SMB请求在AD域中可执行。
- DNS端口:UDP 53
- Kerberos端口:TCP 88
- LDAP端口:TCP 389
- LDAP Global Catalog端口:TCP 3268
- 验证macOS客户端与AD域的连接。使用ping命令连接AD域,如下图示例即为连接成功。
- 配置macOS客户端通过Kerberos协议挂载SMB文件系统。
- 执行mount_smbfs命令,挂载SMB文件系统。示例如下:
mount_smbfs //administrator@nas-mount-point.nas.aliyuncs.com/myshare /Volumes/myshare挂载成功会返回如下信息:说明 若出现如mount_smbfs: server rejected the connection: Authentication error的报错信息,请执行kinit命令,验证AD域身份后再次执行挂载。
挂载成功后执行klist命令,会显示两个服务主体,如下图所示:
说明 macOS客户端不会显示SMB ACL,但实际AD域身份已生效。您在对任何文件进行操作时,SMB文件系统都会先验证ACL,然后允许或禁止该操作。如需设置ACL,请您在AD域服务器挂载该SMB文件系统时进行配置。
- 执行mount_smbfs命令,挂载SMB文件系统。示例如下:
