VPN経由でmacOSクライアントにSMBファイルシステムをマウントする

macOSクライアントにSMBファイルシステムをマウントする

1. VPNゲートウェイを使用してmacOSクライアントをVPCに接続します。 詳細については、「macOSクライアントをVPCに接続する」をご参照ください。

   手順2: SSLサーバーの作成で、クライアントサブネットとローカルネットワークは一意である必要があります。 Local Networkの値は、VPCのCIDRブロックです。 VPCコンソールにログインし、VPC詳細ページでVPCのCIDRブロックを表示できます。

2. macOSクライアントとSMBファイルシステムのマウントターゲット間の接続を確認します。

   • ネットワーク接続の確認

     VPN gatewayが接続されたら、pingコマンドを実行して、VPC内のSMBファイルシステムのマウントターゲットをpingします。

     説明

     マウントターゲットをpingできない場合は、SMBファイルシステムと同じVPC内のElastic Compute Service (ECS) インスタンスのマウントターゲットをpingしてマウントターゲットのIPアドレスを取得し、そのIPアドレスを使用してmacOSクライアントにファイルシステムをマウントする必要があります。

   • ポート接続の確認

     telnet [Mount target of the SMB file system] 445

3. SMBファイルシステムをマウントします。

   • グラフィカルユーザーインターフェイス (GUI) を使用して、macOSクライアントにSMBファイルシステムをマウントする

     1. macOSクライアントデスクトップのFinderバーで、[Go] > [Connect to Server] を選択します。

     2. [サーバーに接続] ダイアログボックスで、マウントターゲットのドメイン名を入力し、[接続] をクリックします。

     3. [名前で接続] セクションで、[ゲスト] を選択し、[接続] をクリックします。

     4. macOSクライアントのデスクトップのFinderバーで、[Go] > [Computer] を選択します。 myshareタブをクリックして、マウントされたSMBファイルシステムを表示します。

        説明

        ファイルシステムがマウントされると、macOSクライアントはファイルシステムに保存されているすべてのファイルを読み取ります。 macOSクライアントがファイルを読み込んでいるときに、myshareディスクが空になることがあります。 読み取りプロセスが完了するまで待ちます。

        

   • コマンドラインインターフェイス (CLI) を使用してmacOSクライアントにSMBファイルシステムをマウントする

     mount_smbfコマンドを実行して、SMBファイルシステムをマウントします。 次のサンプルコードに例を示します。

     mount_smbfs '//guest@nas-mount-point.nas.aliyuncs.com/myshare' /Volumes/myshare/

     nas-mount-point.nas.aliyuncs.comは、VPC内のSMBファイルシステムのマウントターゲットです。 マウントターゲットを実際の値に置き換えます。

     次のようなコマンド出力が表示された場合、ファイルシステムがマウントされます。

Kerberosプロトコルを使用してmacOSクライアントのSMBファイルシステムにアクセスする

SMBファイルシステムがNew Technology LAN Manager (NTLM) に基づくmacOSクライアントにマウントされた後、macOSクライアントはデフォルトでSMBファイルシステムに対するすべての権限を持ちます。 異なるユーザーに異なる権限を付与するために、NASではユーザーを認証し、Active Directory (AD) ドメインに基づいてSMBファイルシステムへのアクセスを制御できます。 次の手順を実行して、SMBファイルシステムへのアクセスを制御できます。

1. ADドメインを構築します。

2. SMBファイルシステムのマウントターゲットとADドメイン間の接続を確立します。 詳細については、「SMBファイルシステムのマウントターゲットをADドメインに参加させる」をご参照ください。

3. SSL VPNネットワークのCIDRブロックをECSインスタンスのセキュリティグループに追加します。 詳細については、「セキュリティグループルールの追加」をご参照ください。

   次のポートのルールをECSインスタンスのセキュリティグループに追加します。 これにより、SMBファイルシステムをADドメインに基づいてmacOSクライアントに確実にマウントできます。

   • ドメインネームシステム (DNS) ポート: UDP 53

   • Kerberosポート: TCP 88

   • LDAPポート: TCP 389

   • LDAPグローバルカタログポート: TCP 3268

4. macOSクライアントのDNSサーバーをADドメインコントローラーの内部IPアドレスに設定します。

   1. ECSインスタンスでipconfigコマンドを実行し、ADドメインコントローラーの内部IPアドレスを照会します。

   2. では、ファインダーmacOSクライアントのデスクトップのバーで、行く > ネットワークを選択します。

   3. では、ネットワークダイアログボックスで、macOSクライアントのDNSサーバーをADドメインコントローラーの内部IPアドレスに設定します。

5. macOSクライアントとADドメイン間の接続を確認します。

   macOSクライアントで、pingコマンドを実行してADドメインコントローラーに接続します。 次の図は、接続の成功を示しています。

6. ADドメインIDを使用して、Kerberosプロトコルを使用してmacOSクライアントにSMBファイルシステムをマウントします。

   1. kinitコマンドを実行して、ADドメインIDのセキュリティを確認します。 次のサンプルコードに例を示します。

      kinit user@MYDOMAIN.COM

   2. klistコマンドを実行して、ADドメインIDを表示します。 次のサンプルコードに例を示します。

      klist

   3. kinitコマンドを実行し、ADドメインIDを使用してmacOSクライアントにログインします。 次のサンプルコードに例を示します。

      kinit

   4. 次のコマンドを実行して、SMBファイルシステムをマウントします。 次のサンプルコードに例を示します。

      mount_smbfs // administrator@nas-mount-point.nas.aliyuncs.com/myshare /Volumes/myshare

      説明

      エラーメッセージmount_smbfs: server rejected the connection: Authentication errorが表示された場合は、kinitコマンドを実行してADドメインIDを確認し、SMBファイルシステムを再度マウントします。

      次の図は、マウントの成功を示しています。SMBファイルシステムがマウントされたら、klistコマンドを実行します。 次の図に示すように、2つのサービスプリンシパルが返されます。

      説明

      SMBアクセス制御リスト (ACL) はmacOSクライアントに表示されません。 ただし、SMBファイルシステムで操作を実行すると、SMBサーバーはACLを検証し、操作を許可または拒否します。 SMBファイルシステムをADドメインコントローラーにマウントするときに、SMBファイルシステムのACLを設定できます。