一般情況下,NAS檔案系統需要在同帳號、同地區、同VPC下的計算節點中掛載訪問。如果您想在macOS用戶端中掛載NAS,則必須連通NAS所在地區VPC的網路。本文檔介紹macOS用戶端如何通過VPN掛載SMB協議檔案系統以及如何使用macOS用戶端通過Kerberos協議訪問SMB協議檔案系統。
前提條件
macOS用戶端掛載SMB協議檔案系統
通過VPN網關建立VPC到macOS用戶端的遠端連線。具體操作,請參見Mac用戶端遠端連線。
驗證macOS用戶端和SMB協議檔案系統掛載點的連通性。
驗證網路連通性
VPN網關串連後,通過ping命令ping VPC內SMB協議檔案系統掛載點,驗證通訊是否正常。
說明如果掛載點無法ping通,則需要通過一台與SMB協議檔案系統在同一VPC下的ECS雲端服務器ping掛載點得到掛載點IP,使用掛載點IP在macOS上進行掛載操作。
驗證服務連接埠連通性
telnet [SMB協議檔案系統掛載點] 445
掛載SMB協議檔案系統。
在macOS用戶端案頭頂部的Finder欄,單擊。
在Connect to Server對話方塊,輸入掛載點,單擊Connect。
在對話方塊Connect As地區,選中Guest,單擊Connect。
在macOS用戶端案頭頂部的Finder欄,單擊,選中myshare頁簽查看已掛載的SMB協議檔案系統。
說明掛載完成後,macOS用戶端會去讀取掛載的NAS中所有檔案。檔案讀取過程中,myshare可能顯示為空白,請您耐心等待。
執行mount_smbf命令列掛載SMB協議檔案系統。樣本如下:
mount_smbfs '//guest@nas-mount-point.nas.aliyuncs.com/myshare' /Volumes/myshare/其中
nas-mount-point.nas.aliyuncs.com為SMB協議檔案系統的專用網路掛載點,請根據實際值替換。如返回如下類似資訊,說明掛載成功。
macOS用戶端通過Kerberos協議訪問SMB協議檔案系統
SMB協議檔案系統預設只支援NTLM鑒權協議,無論macOS用戶端以什麼身份掛載,鑒權後得到的身份均為Everyone,預設擁有所有許可權。而阿里雲NAS SMB協議檔案系統支援基於AD域的使用者身份認證和檔案系統層級的許可權存取控制。您可以通過以下步驟控制不同使用者訪問SMB協議檔案系統的許可權。
搭建AD域。
建立SMB協議檔案系統掛載點與AD域的串連。具體操作,請參見將SMB協議檔案系統掛載點接入AD域。
添加VPN SSL網段到安全性群組。具體操作,請參見添加安全性群組規則。
請您在ECS執行個體的安全性群組中添加如下連接埠許可權,確保macOS用戶端的DNS請求和SMB請求在AD域中可執行。
DNS連接埠:UDP 53
Kerberos連接埠:TCP 88
LDAP連接埠:TCP 389
LDAP Global Catalog連接埠:TCP 3268
設定macOS用戶端的DNS為AD網域服務器。
通過ipconfig命令在AD網域服務器上查詢內網IP。
在macOS用戶端案頭頂部的Finder欄,單擊。
在Network對話方塊,將macOS用戶端的DNS設定為AD網域服務器內網IP。
驗證macOS用戶端與AD域的串連。
使用ping命令串連AD域,如下圖樣本即為串連成功。
配置macOS用戶端通過Kerberos協議掛載SMB協議檔案系統。
執行kinit,驗證AD域身份安全性。樣本如下:
kinit user@MYDOMAIN.COM執行
klist命令,查看AD域身份。樣本如下:klist執行
kinit命令,啟動AD域身份。樣本如下:kinit執行命令,掛載SMB協議檔案系統。樣本如下:
mount_smbfs //administrator@nas-mount-point.nas.aliyuncs.com/myshare /Volumes/myshare說明若出現如
mount_smbfs: server rejected the connection: Authentication error的報錯資訊,請執行kinit命令,驗證AD域身份後再次執行掛載。掛載成功會返回如下資訊:
掛載成功後執行klist命令,會顯示兩個服務主體,如下圖所示:
說明macOS用戶端不會顯示SMB ACL,但實際AD域身份已生效。您在對任何檔案進行操作時,SMB協議檔案系統都會先驗證ACL,然後允許或禁止該操作。如需設定ACL,請您在AD網域服務器掛載該SMB協議檔案系統時進行配置。