File Storage NAS:VPN 経由で macOS クライアントに SMB ファイルシステムをマウントする

macOS クライアントに SMB ファイルシステムをマウントする

1. VPN ゲートウェイを使用して macOS クライアントを VPC に接続します。詳細については、「macOS クライアントを VPC に接続する」をご参照ください。

   手順 2: SSL サーバーを作成する では、[クライアントサブネット] と [ローカルネットワーク] は一意である必要があります。[ローカルネットワーク] の値は VPC の CIDR ブロックです。VPC コンソール にログインし、VPC 詳細ページで VPC の CIDR ブロックを表示できます。

2. macOS クライアントと SMB ファイルシステムのマウントポイント間の接続性を検証します。

   • ネットワーク接続を確認する

     VPN ゲートウェイが接続された後、ping コマンドを実行して、VPC 内の SMB ファイルシステムのマウントポイントを ping します。

     説明

     マウントポイントを ping できない場合は、SMB ファイルシステムと同じ VPC 内の Elastic Compute Service (ECS) インスタンスでマウントポイントを ping してマウントポイントの IP アドレスを取得し、その IP アドレスを使用して macOS クライアントにファイルシステムをマウントする必要があります。

   • ポートの接続性を確認する

     telnet [Mount target of the SMB file system] 445

3. SMB ファイルシステムをマウントします。

   • グラフィカルユーザーインターフェイス (GUI) を使用して macOS クライアントに SMB ファイルシステムをマウントする

     1. macOS クライアントデスクトップの [Finder] バーで、[移動] > [サーバーに接続] を選択します。

     2. [サーバーに接続] ダイアログボックスで、マウントポイントのドメイン名を入力し、[接続] をクリックします。

     3. [接続身份] セクションで、[ゲスト] を選択し、[接続] をクリックします。

     4. macOS クライアントデスクトップの [Finder] バーで、[移動] > [コンピュータ] を選択します。[myshare] タブをクリックして、マウントされた SMB ファイルシステムを表示します。

        説明

        ファイルシステムがマウントされると、macOS クライアントはファイルシステムに保存されているすべてのファイルを読み取ります。macOS クライアントがファイルを読み取っている間、[myshare] ディスクは空の場合があります。読み取りプロセスが完了するまで待ちます。

        

   • コマンドラインインターフェイス (CLI) を使用して macOS クライアントに SMB ファイルシステムをマウントする

     mount_smbfs コマンドを実行して、SMB ファイルシステムをマウントします。次のサンプルコードは例を示しています。

     mount_smbfs '//gue**@nas-mount-point.nas.aliyuncs.com/myshare' /Volumes/myshare/

     nas-mount-point.nas.aliyuncs.com は、VPC 内の SMB ファイルシステムのマウントポイントです。マウントポイントを実際の値に置き換えてください。

     次のような情報に類似したコマンド出力が表示された場合、ファイルシステムはマウントされています。

Kerberos プロトコルを使用して macOS クライアント上の SMB ファイルシステムにアクセスする

New Technology LAN Manager (NTLM) に基づいて SMB ファイルシステムが macOS クライアントにマウントされると、macOS クライアントはデフォルトで SMB ファイルシステムに対するすべての権限を持ちます。異なるユーザーに異なる権限を付与するために、NAS では Active Directory (AD) ドメインに基づいてユーザーを認証し、SMB ファイルシステムへのアクセスを制御できます。SMB ファイルシステムへのアクセスを制御するには、次の手順を実行します。

1. AD ドメインを構築します。

2. SMB ファイルシステムのマウントポイントと AD ドメイン間の接続を確立します。詳細については、「SMB ファイルシステムのマウントポイントを AD ドメインに参加させる」をご参照ください。

3. SSL VPN ネットワークの CIDR ブロックを ECS インスタンスのセキュリティグループに追加します。詳細については、「セキュリティグルーパールールを追加する」をご参照ください。

   次のポートのルールを ECS インスタンスのセキュリティグループに追加します。これにより、AD ドメインに基づいて SMB ファイルシステムを macOS クライアントにマウントできます。

   • ドメインネームシステム (DNS) ポート: UDP 53

   • Kerberos ポート: TCP 88

   • LDAP ポート: TCP 389

   • LDAP グローバルカタログポート: TCP 3268

4. macOS クライアントの DNS サーバーを AD ドメインコントローラーの内部 IP アドレスに設定します。

   1. ECS インスタンスで ipconfig コマンドを実行して、AD ドメインコントローラーの内部 IP アドレスをクエリします。

   2. macOS クライアントデスクトップの [Finder] バーで、[移動] > [ネットワーク] を選択します。

   3. [ネットワーク] ダイアログボックスで、macOS クライアントの DNS サーバーを AD ドメインコントローラーの内部 IP アドレスに設定します。

5. macOS クライアントと AD ドメイン間の接続を検証します。

   macOS クライアントで、ping コマンドを実行して AD ドメインコントローラーに接続します。次の図は、接続が成功したことを示しています。

6. Kerberos プロトコルを使用して、AD ドメイン ID を使用して macOS クライアントに SMB ファイルシステムをマウントします。

   1. kinit コマンドを実行して、AD ドメイン ID のセキュリティを検証します。次のサンプルコードは例を示しています。

      kinit user@MYDOMAIN.COM

   2. klist コマンドを実行して、AD ドメイン ID を表示します。次のサンプルコードは例を示しています。

      klist

   3. kinit コマンドを実行して、AD ドメイン ID を使用して macOS クライアントにログインします。次のサンプルコードは例を示しています。

      kinit

   4. 次のコマンドを実行して、SMB ファイルシステムをマウントします。次のサンプルコードは例を示しています。

      mount_smbfs //administrator@nas-mount-point.nas.aliyuncs.com/myshare /Volumes/myshare

      説明

      mount_smbfs: server rejected the connection: Authentication error というエラーメッセージが表示された場合は、kinit コマンドを実行して AD ドメイン ID を検証し、SMB ファイルシステムを再度マウントします。

      次の図は、マウントが成功したことを示しています。 SMB ファイルシステムがマウントされた後、klist コマンドを実行します。次の図に示すように、2 つのサービスプリンシパルが返されます。

      説明

      SMB アクセス制御リスト (ACL) は macOS クライアントには表示されません。ただし、SMB ファイルシステムで操作を実行すると、SMB サーバーは ACL を検証し、操作を許可または拒否します。AD ドメインコントローラーに SMB ファイルシステムをマウントするときに、SMB ファイルシステムの ACL を構成できます。