ローカルの macOS クライアントに File Storage NAS ファイルシステムをマウントするには、ファイルシステムが配置されているリージョン内の Virtual Private Cloud (VPC) に接続する必要があります。このトピックでは、VPN 経由で macOS クライアントに Server Message Block (SMB) ファイルシステムをマウントする方法と、Kerberos プロトコルを使用して SMB ファイルシステムにアクセスする方法について説明します。
前提条件
-
SMB ファイルシステムを作成しておきます。詳細については、「ファイルシステムの作成」をご参照ください。
-
VPC にマウントターゲットを作成しておきます。詳細については、「マウントターゲットの作成」をご参照ください。
macOS での SMB ファイルシステムのマウント
-
VPN ゲートウェイを使用して macOS クライアントを VPC に接続します。詳細については、「macOS クライアントの VPC への接続」をご参照ください。
SSL サーバーを作成する際は、クライアント CIDR ブロック と ローカル CIDR ブロック が重複しないようにしてください。ローカル CIDR ブロック は VPC の CIDR ブロックです。VPC コンソールにログインして VPC の CIDR ブロックを表示できます。[SSL サーバーの編集] ダイアログボックスで、[名前] を
ssl-indiaに設定し、ターゲットの [VPN ゲートウェイ] を選択し、[ローカルネットワーク] を172.31.0.0/16に設定し、[クライアントサブネット] を192.168.1.0/24に設定します。クライアントサブネットは、VPC 内の VSwitch の CIDR ブロックと競合しないようにしてください。[OK] をクリックします。 -
macOS クライアントと SMB ファイルシステムのマウントターゲット間の接続性を検証します。
-
ネットワーク接続の検証
VPN ゲートウェイが接続されたら、ping コマンドを使用して、VPC 内の SMB ファイルシステムのマウントターゲットに ping を実行し、接続が正常に動作することを確認します。
IT-C02WW0JRG8WN:Volumes $ ping xxx.nas.aliyuncs.com PING xxx.nas.aliyuncs.com (172.31.16.146): 56 data bytes 64 bytes from 172.31.16.146: icmp_seq=0 ttl=101 time=211.562 ms 64 bytes from 172.31.16.146: icmp_seq=1 ttl=101 time=199.784 ms 64 bytes from 172.31.16.146: icmp_seq=2 ttl=101 time=173.240 ms ^C --- xxx.nas.aliyuncs.com ping statistics --- 3 packets transmitted, 3 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 173.240/194.862/211.562/16.027 ms説明ping が失敗した場合は、SMB ファイルシステムと同じ VPC 内の Elastic Compute Service (ECS) インスタンスから ping コマンドを実行して、マウントターゲットの IP アドレスを取得します。その後、その IP アドレスを使用して macOS クライアントでファイルシステムをマウントします。
-
サービスポート接続の検証
telnet [SMB ファイルシステムのマウントターゲット] 445
-
-
SMB ファイルシステムをマウントします。
-
Kerberos を使用した macOS からの SMB ファイルシステムへのアクセス
デフォルトでは、SMB ファイルシステムは NTLM 認証プロトコルのみをサポートしています。macOS クライアントからのマウントに使用する ID に関係なく、認証 ID は「Everyone」となり、デフォルトですべての権限を持ちます。File Storage NAS は、AD ドメインベースのユーザー認証とファイルシステムレベルのアクセス制御をサポートしています。異なるユーザーが SMB ファイルシステムにアクセスするための権限を管理するには、次の手順に従います。
-
AD ドメインを設定します。
-
SMB ファイルシステムのマウントターゲットを AD ドメインに参加させます。詳細については、「SMB マウントターゲットの AD ドメインへの参加」をご参照ください。
-
VPN SSL サブネットをセキュリティグループに追加します。詳細については、「セキュリティグループルールの追加」をご参照ください。
AD ドメインが macOS クライアントからの DNS および SMB リクエストを処理できるように、ECS インスタンスのセキュリティグループに次のルールを追加します。
-
DNS ポート:UDP 53
-
Kerberos ポート:TCP 88
-
LDAP ポート:TCP 389
-
LDAP グローバルカタログポート:TCP 3268
たとえば、DNS ポート用のルールを追加するには、[セキュリティグループルールを編集] ダイアログボックスで、[NIC タイプ] を [イントラネット] に、[方向] を [インバウンド] に、[アクション] を [許可] に、[プロトコルタイプ] を [カスタム UDP] に、[ポート範囲] を
53に、[優先度] を1に、[承認タイプ] を [IPv4 CIDR ブロック] に設定します。[承認オブジェクト] を192.168.1.0/24に設定し、[OK] をクリックします。他のポート (TCP 88、TCP 389、TCP 3268) についても同様にルールを追加します。 -
-
macOS クライアントの DNS サーバーを AD ドメインサーバーとして設定します。
-
AD ドメインサーバーで ipconfig コマンドを実行して、その内部 IP アドレスを確認します。
-
macOS デスクトップの上部にある [Finder] メニューバーで、 を選択します。
-
[ネットワーク] を選択し、アクティブなネットワーク接続 (VPN 接続など) を選択します。詳細設定で、前の手順で取得した AD ドメインサーバーの内部 IP アドレスを DNS サーバーとして追加します。
-
-
macOS クライアントと AD ドメイン間の接続を確認します。
ping コマンドを実行して、AD ドメインへの接続を確認します。次の例は、接続が成功したことを示しています。
IT-C02WW0JRG8WN:Volumes xxx$ ping smb-hk.com PING smb-hk.com (172.31.59.36): 56 data bytes 64 bytes from 172.31.59.36: icmp_seq=0 ttl=127 time=172.032 ms 64 bytes from 172.31.59.36: icmp_seq=1 ttl=127 time=173.217 ms 64 bytes from 172.31.59.36: icmp_seq=2 ttl=127 time=176.154 ms ^C --- smb-hk.com ping statistics --- 3 packets transmitted, 3 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 172.032/173.801/176.154/1.733 ms IT-C02WW0JRG8WN:Volumes xxx$ -
Kerberos プロトコルを使用して SMB ファイルシステムをマウントします。
-
kinit を実行して、AD ドメインの認証情報を検証します。 例:
kinit user@MYDOMAIN.COM -
klistコマンドを実行して、キャッシュされたチケットを表示します。例:klist -
チケットの有効期限が切れた場合は、再度
kinitコマンドを実行してチケットを更新できます。例:kinit -
SMB ファイルシステムをマウントするコマンドを実行します。例:
mount_smbfs //administrator@nas-mount-point.nas.aliyuncs.com/myshare /Volumes/myshare説明mount_smbfs: server rejected the connection: Authentication errorのようなエラーメッセージが表示された場合は、kinit コマンドを実行して AD ドメイン資格情報を検証してから、再試行してください。
klistIT-C02WW0JRG8WN:Volumes xxx$ kinit xxx@SMB-HK.COM xxx@SMB-HK.COM's password: IT-C02WW0JRG8WN:Volumes xxx$ klist Credentials cache: API:25A9ACD7-9930-499C-81DF-3EF76C83EE36 Principal: xxx@SMB-HK.COM Issued Expires Principal Apr 15 03:49:18 2020 Apr 15 13:49:12 2020 xxx xxx@SMB-HK.COM IT-C02WW0JRG8WN:Volumes xxx$ mount_smbfs '//xxx.nas.aliyuncs.com/myshare' /Volumes/myshare IT-C02WW0JRG8WN:Volumes xxx$ mount /dev/disk1s1 on / (apfs, local, journaled) devfs on /dev (devfs, local, nobrowse) /dev/disk1s4 on /private/var/vm (apfs, local, noexec, journaled, noatime, nobrowse) map -hosts on /net (autofs, nosuid, automounted, nobrowse) map auto_home on /home (autofs, automounted, nobrowse) /dev/disk1s3 on /Volumes/Recovery (apfs, local, journaled, nobrowse) //xxx@xxx.nas.aliyuncs.com/myshare on /Volumes/myshare (smbfs, nodev, nosuid, mounted by xxx) IT-C02WW0JRG8WN:Volumes xxx$
次の例は、Kerberos チケットの取得から、ファイルシステムのマウント、マウントの確認までの一連のプロセスを示しています。$ klist Credentials cache: API:25A9ACD7-9930-4xxx Principal: xxxr@SMB-HK.COM Issued Expires Principal Apr 15 03:49:18 2020 Apr 15 13:49:12 2020 krbtgt/SMB-HK.COM@SMB-HK.COM Apr 15 03:49:27 2020 Apr 15 13:49:12 2020 cifs/xxx.cn-hongkong.nas.aliyuncs.com@SMB-HK.COM説明macOS の Finder には SMB ACL は表示されませんが、AD ドメイン ID は引き続き有効です。ファイル操作を実行すると、SMB ファイルシステムは ACL をチェックして、アクションを許可または拒否します。ACL を設定するには、AD ドメインサーバーに SMB ファイルシステムをマウントし、そこで設定を行います。
-