Untuk memasang sistem file Penyimpanan File NAS pada klien macOS lokal Anda, Anda harus terhubung ke virtual private cloud (VPC) di wilayah tempat sistem file tersebut berada. Topik ini menjelaskan cara memasang sistem file Server Message Block (SMB) pada klien macOS melalui VPN dan mengakses sistem file SMB menggunakan protokol Kerberos.
Prasyarat
-
Buat sistem file SMB. Untuk informasi selengkapnya, lihat Buat sistem file.
-
Buat titik pemasangan di VPC. Untuk informasi selengkapnya, lihat Buat titik pemasangan.
Pasang sistem file SMB pada macOS
-
Hubungkan klien macOS Anda ke VPC menggunakan gateway VPN. Untuk informasi selengkapnya, lihat Hubungkan klien macOS ke VPC.
Saat Anda membuat server SSL, pastikan bahwa Client CIDR Block dan Local CIDR Block tidak tumpang tindih. Local CIDR Block adalah blok CIDR dari VPC. Anda dapat login ke Konsol VPC untuk melihat blok CIDR VPC. Di kotak dialog Edit SSL Server, atur Name menjadi
ssl-india, pilih VPN gateway yang dituju, atur Local Network menjadi172.31.0.0/16, dan atur Client Subnet menjadi192.168.1.0/24. Subnet klien tidak boleh bentrok dengan blok CIDR VSwitch mana pun di VPC. Klik OK. -
Verifikasi konektivitas antara klien macOS dan titik pemasangan sistem file SMB.
-
Verifikasi konektivitas jaringan
Setelah gateway VPN terhubung, gunakan perintah ping untuk ping titik pemasangan sistem file SMB di VPC guna memverifikasi bahwa koneksi berfungsi dengan baik.
IT-C02WW0JRG8WN:Volumes $ ping xxx.nas.aliyuncs.com PING xxx.nas.aliyuncs.com (172.31.16.146): 56 data bytes 64 bytes from 172.31.16.146: icmp_seq=0 ttl=101 time=211.562 ms 64 bytes from 172.31.16.146: icmp_seq=1 ttl=101 time=199.784 ms 64 bytes from 172.31.16.146: icmp_seq=2 ttl=101 time=173.240 ms ^C --- xxx.nas.aliyuncs.com ping statistics --- 3 packets transmitted, 3 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 173.240/194.862/211.562/16.027 msCatatanJika ping gagal, peroleh alamat IP titik pemasangan dengan menjalankan perintah ping dari instans ECS di VPC yang sama dengan sistem file SMB. Kemudian, gunakan alamat IP tersebut untuk memasang sistem file pada klien macOS Anda.
-
Verifikasi konektivitas port layanan
telnet [titik pemasangan sistem file SMB] 445
-
-
Pasang sistem file SMB.
-
Akses sistem file SMB pada macOS menggunakan Kerberos
Secara default, sistem file SMB hanya mendukung protokol autentikasi NTLM. Terlepas dari identitas yang Anda gunakan untuk memasang dari klien macOS, identitas yang diautentikasi menjadi 'Everyone', yang secara default memiliki izin penuh. Alibaba Cloud File Storage NAS mendukung autentikasi pengguna berbasis domain AD dan kontrol akses tingkat sistem file. Ikuti langkah-langkah berikut untuk mengelola izin berbagai pengguna dalam mengakses sistem file SMB.
-
Siapkan domain AD.
-
Masukkan titik pemasangan SMB ke dalam domain AD. Untuk informasi selengkapnya, lihat Masukkan titik pemasangan SMB ke domain AD.
-
Tambahkan subnet SSL VPN ke grup keamanan. Untuk informasi selengkapnya, lihat Tambahkan aturan grup keamanan.
Tambahkan aturan berikut ke grup keamanan instans ECS untuk mengizinkan domain AD memproses permintaan DNS dan SMB dari klien macOS Anda.
-
Port DNS: UDP 53
-
Port Kerberos: TCP 88
-
Port LDAP: TCP 389
-
Port Global Catalog LDAP: TCP 3268
Sebagai contoh, untuk menambahkan aturan untuk port DNS, di kotak dialog Edit Security Group Rule, atur NIC Type menjadi Internal Network, Direction menjadi Inbound, Action menjadi Allow, Protocol Type menjadi Custom UDP, Port Range menjadi
53, Priority menjadi1, dan Authorization Type menjadi IPv4 CIDR Block. Atur Authorization Object menjadi192.168.1.6/24, lalu klik OK. Tambahkan aturan untuk port lainnya (TCP 88, TCP 389, dan TCP 3268) dengan cara yang sama. -
-
Atur server DNS untuk klien macOS ke server domain AD.
-
Jalankan perintah ipconfig pada server domain AD untuk menanyakan alamat IP internalnya.
-
Pada bilah menu Finder di bagian atas desktop macOS Anda, pilih .
-
Di kotak dialog Network, atur DNS klien macOS ke alamat IP internal server domain AD.
-
-
Verifikasi koneksi antara klien macOS dan domain AD.
Jalankan perintah ping untuk memverifikasi konektivitas ke domain AD. Contoh berikut menunjukkan koneksi yang berhasil.
IT-C02WW0JRG8WN:Volumes xxx$ ping smb-hk.com PING smb-hk.com (172.31.59.36): 56 data bytes 64 bytes from 172.31.59.36: icmp_seq=0 ttl=127 time=172.032 ms 64 bytes from 172.31.59.36: icmp_seq=1 ttl=127 time=173.217 ms 64 bytes from 172.31.59.36: icmp_seq=2 ttl=127 time=176.154 ms ^C --- smb-hk.com ping statistics --- 3 packets transmitted, 3 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 172.032/173.801/176.154/1.733 ms IT-C02WW0JRG8WN:Volumes xxx$ -
Pasang sistem file SMB menggunakan protokol Kerberos.
-
Jalankan kinit untuk memverifikasi kredensial domain AD Anda. Contoh:
kinit user@MYDOMAIN.COM -
Jalankan perintah
klistuntuk melihat identitas domain AD. Contoh:klist -
Jalankan perintah
kinituntuk mendapatkan tiket Kerberos untuk identitas domain AD. Contoh:kinit -
Jalankan perintah untuk memasang sistem file SMB. Contoh:
mount_smbfs //administrator@nas-mount-point.nas.aliyuncs.com/myshare /Volumes/myshareCatatanJika Anda menerima pesan error seperti
mount_smbfs: server rejected the connection: Authentication error, jalankan perintah kinit untuk memverifikasi kredensial domain AD Anda, lalu coba lagi.Contoh berikut menunjukkan proses lengkap untuk mendapatkan tiket Kerberos, memasang sistem file, dan memverifikasi pemasangan:
Setelah pemasangan berhasil, menjalankan perintah klist akan menampilkan dua principal layanan, sebagai berikut:IT-C02WW0JRG8WN:Volumes xxx$ kinit xxx@SMB-HK.COM xxx@SMB-HK.COM's password: IT-C02WW0JRG8WN:Volumes xxx$ klist Credentials cache: API:25A9ACD7-9930-499C-81DF-3EF76C83EE36 Principal: xxx@SMB-HK.COM Issued Expires Principal Apr 15 03:49:18 2020 Apr 15 13:49:12 2020 xxx xxx@SMB-HK.COM IT-C02WW0JRG8WN:Volumes xxx$ mount_smbfs '//xxx.nas.aliyuncs.com/myshare' /Volumes/myshare IT-C02WW0JRG8WN:Volumes xxx$ mount /dev/disk1s1 on / (apfs, local, journaled) devfs on /dev (devfs, local, nobrowse) /dev/disk1s4 on /private/var/vm (apfs, local, noexec, journaled, noatime, nobrowse) map -hosts on /net (autofs, nosuid, automounted, nobrowse) map auto_home on /home (autofs, automounted, nobrowse) /dev/disk1s3 on /Volumes/Recovery (apfs, local, journaled, nobrowse) //xxx@xxx.nas.aliyuncs.com/myshare on /Volumes/myshare (smbfs, nodev, nosuid, mounted by xxx) IT-C02WW0JRG8WN:Volumes xxx$$ klist Credentials cache: API:25A9ACD7-9930-4xxx Principal: xxxr@SMB-HK.COM Issued Expires Principal Apr 15 03:49:18 2020 Apr 15 13:49:12 2020 krbtgt/SMB-HK.COM@SMB-HK.COM Apr 15 03:49:27 2020 Apr 15 13:49:12 2020 cifs/xxx.cn-hongkong.nas.aliyuncs.com@SMB-HK.COMCatatanMeskipun Finder macOS tidak menampilkan ACL SMB, identitas domain AD tetap diberlakukan. Saat Anda melakukan operasi file, sistem file SMB memeriksa ACL untuk mengizinkan atau menolak aksi tersebut. Untuk mengatur ACL, pasang sistem file SMB pada server domain AD dan konfigurasikan di sana.
-