すべてのプロダクト
Search
ドキュメントセンター

File Storage NAS:VPN 経由での macOS からの SMB ファイルシステムへのアクセス

最終更新日:Jun 22, 2026

ローカルの macOS クライアントに File Storage NAS ファイルシステムをマウントするには、ファイルシステムが配置されているリージョン内の Virtual Private Cloud (VPC) に接続する必要があります。このトピックでは、VPN 経由で macOS クライアントに Server Message Block (SMB) ファイルシステムをマウントする方法と、Kerberos プロトコルを使用して SMB ファイルシステムにアクセスする方法について説明します。

前提条件

macOS での SMB ファイルシステムのマウント

  1. VPN ゲートウェイを使用して macOS クライアントを VPC に接続します。詳細については、「macOS クライアントの VPC への接続」をご参照ください。

    SSL サーバーを作成する際は、クライアント CIDR ブロックローカル CIDR ブロック が重複しないようにしてください。ローカル CIDR ブロック は VPC の CIDR ブロックです。VPC コンソールにログインして VPC の CIDR ブロックを表示できます。[SSL サーバーの編集] ダイアログボックスで、[名前] を ssl-india に設定し、ターゲットの [VPN ゲートウェイ] を選択し、[ローカルネットワーク] を 172.31.0.0/16 に設定し、[クライアントサブネット] を 192.168.1.0/24 に設定します。クライアントサブネットは、VPC 内の VSwitch の CIDR ブロックと競合しないようにしてください。[OK] をクリックします。

  2. macOS クライアントと SMB ファイルシステムのマウントターゲット間の接続性を検証します。

    • ネットワーク接続の検証

      VPN ゲートウェイが接続されたら、ping コマンドを使用して、VPC 内の SMB ファイルシステムのマウントターゲットに ping を実行し、接続が正常に動作することを確認します。

      IT-C02WW0JRG8WN:Volumes      $ ping xxx.nas.aliyuncs.com
      PING xxx.nas.aliyuncs.com (172.31.16.146): 56 data bytes
      64 bytes from 172.31.16.146: icmp_seq=0 ttl=101 time=211.562 ms
      64 bytes from 172.31.16.146: icmp_seq=1 ttl=101 time=199.784 ms
      64 bytes from 172.31.16.146: icmp_seq=2 ttl=101 time=173.240 ms
      ^C
      --- xxx.nas.aliyuncs.com ping statistics ---
      3 packets transmitted, 3 packets received, 0.0% packet loss
      round-trip min/avg/max/stddev = 173.240/194.862/211.562/16.027 ms
      説明

      ping が失敗した場合は、SMB ファイルシステムと同じ VPC 内の Elastic Compute Service (ECS) インスタンスから ping コマンドを実行して、マウントターゲットの IP アドレスを取得します。その後、その IP アドレスを使用して macOS クライアントでファイルシステムをマウントします。

    • サービスポート接続の検証

      telnet [SMB ファイルシステムのマウントターゲット] 445
  3. SMB ファイルシステムをマウントします。

    • macOS GUI の使用

      1. macOS デスクトップ上部の [Finder] メニューバーで、 を選択します。

      2. [サーバーへ接続] ダイアログボックスで、[サーバーアドレス] フィールドに SMB マウントアドレスを入力します。アドレスは smb:///myshare の形式である必要があります。その後、[接続] をクリックします。

      3. ダイアログボックスの [接続形態] セクションで [ゲスト] を選択し、[接続] をクリックします。

      4. macOS デスクトップ上部の [Finder] メニューバーで、 を選択し、[myshare] ボリュームを選択してマウントされた SMB ファイルシステムを表示します。

        説明

        マウント後、macOS クライアントはマウントされた NAS ファイルシステム内のすべてのファイルを読み取ります。このプロセス中、[myshare] フォルダーが空に表示される場合があります。プロセスが完了するまでお待ちください。

    • macOS コマンドラインの使用

      mount_smbfs コマンドを実行して SMB ファイルシステムをマウントします。例:

      mount_smbfs '//gue**@nas-mount-point.nas.aliyuncs.com/myshare' /Volumes/myshare/

      このコマンドの nas-mount-point.nas.aliyuncs.com は、SMB ファイルシステムの VPC マウントターゲットです。実際の値に置き換えてください。

      次のような出力が返された場合、マウントは成功です。

      IT-C02WW0JRG8WN:Volumes (xxx)$ mount_smbfs '//xxx.nas.aliyuncs.com/myshare' /Volumes/myshare
      IT-C02WW0JRG8WN:Volumes xxx$ mount
      /dev/disk1s1 on / (apfs, local, journaled)
      devfs on /dev (devfs, local, nobrowse)
      /dev/disk1s4 on /private/var/vm (apfs, local, noexec, journaled, noatime, nobrowse)
      map -hosts on /net (autofs, nosuid, automounted, nobrowse)
      map auto_home on /home (autofs, automounted, nobrowse)
      /dev/disk1s3 on /Volumes/Recovery (apfs, local, journaled, nobrowse)
      //xxx@xxx.nas.aliyuncs.com/myshare on /Volumes/myshare (smbfs, nodev, nosuid, mounted by xxx)

Kerberos を使用した macOS からの SMB ファイルシステムへのアクセス

デフォルトでは、SMB ファイルシステムは NTLM 認証プロトコルのみをサポートしています。macOS クライアントからのマウントに使用する ID に関係なく、認証 ID は「Everyone」となり、デフォルトですべての権限を持ちます。File Storage NAS は、AD ドメインベースのユーザー認証とファイルシステムレベルのアクセス制御をサポートしています。異なるユーザーが SMB ファイルシステムにアクセスするための権限を管理するには、次の手順に従います。

  1. AD ドメインを設定します。

  2. SMB ファイルシステムのマウントターゲットを AD ドメインに参加させます。詳細については、「SMB マウントターゲットの AD ドメインへの参加」をご参照ください。

  3. VPN SSL サブネットをセキュリティグループに追加します。詳細については、「セキュリティグループルールの追加」をご参照ください。

    AD ドメインが macOS クライアントからの DNS および SMB リクエストを処理できるように、ECS インスタンスのセキュリティグループに次のルールを追加します。

    • DNS ポート:UDP 53

    • Kerberos ポート:TCP 88

    • LDAP ポート:TCP 389

    • LDAP グローバルカタログポート:TCP 3268

    たとえば、DNS ポート用のルールを追加するには、[セキュリティグループルールを編集] ダイアログボックスで、[NIC タイプ][イントラネット] に、[方向][インバウンド] に、[アクション][許可] に、[プロトコルタイプ][カスタム UDP] に、[ポート範囲]53 に、[優先度]1 に、[承認タイプ][IPv4 CIDR ブロック] に設定します。[承認オブジェクト]192.168.1.0/24 に設定し、[OK] をクリックします。他のポート (TCP 88、TCP 389、TCP 3268) についても同様にルールを追加します。

  4. macOS クライアントの DNS サーバーを AD ドメインサーバーとして設定します。

    1. AD ドメインサーバーで ipconfig コマンドを実行して、その内部 IP アドレスを確認します。

    2. macOS デスクトップの上部にある [Finder] メニューバーで、 を選択します。

    3. [ネットワーク] を選択し、アクティブなネットワーク接続 (VPN 接続など) を選択します。詳細設定で、前の手順で取得した AD ドメインサーバーの内部 IP アドレスを DNS サーバーとして追加します。

  5. macOS クライアントと AD ドメイン間の接続を確認します。

    ping コマンドを実行して、AD ドメインへの接続を確認します。次の例は、接続が成功したことを示しています。

    IT-C02WW0JRG8WN:Volumes xxx$ ping smb-hk.com
    PING smb-hk.com (172.31.59.36): 56 data bytes
    64 bytes from 172.31.59.36: icmp_seq=0 ttl=127 time=172.032 ms
    64 bytes from 172.31.59.36: icmp_seq=1 ttl=127 time=173.217 ms
    64 bytes from 172.31.59.36: icmp_seq=2 ttl=127 time=176.154 ms
    ^C
    --- smb-hk.com ping statistics ---
    3 packets transmitted, 3 packets received, 0.0% packet loss
    round-trip min/avg/max/stddev = 172.032/173.801/176.154/1.733 ms
    IT-C02WW0JRG8WN:Volumes xxx$
  6. Kerberos プロトコルを使用して SMB ファイルシステムをマウントします。

    1. kinit を実行して、AD ドメインの認証情報を検証します。 例:

      kinit user@MYDOMAIN.COM
    2. klist コマンドを実行して、キャッシュされたチケットを表示します。例:

      klist
    3. チケットの有効期限が切れた場合は、再度 kinit コマンドを実行してチケットを更新できます。例:

      kinit
    4. SMB ファイルシステムをマウントするコマンドを実行します。例:

      mount_smbfs //administrator@nas-mount-point.nas.aliyuncs.com/myshare /Volumes/myshare
      説明

      mount_smbfs: server rejected the connection: Authentication error のようなエラーメッセージが表示された場合は、kinit コマンドを実行して AD ドメイン資格情報を検証してから、再試行してください。

      IT-C02WW0JRG8WN:Volumes xxx$ kinit xxx@SMB-HK.COM
      xxx@SMB-HK.COM's password:
      IT-C02WW0JRG8WN:Volumes xxx$ klist
      Credentials cache: API:25A9ACD7-9930-499C-81DF-3EF76C83EE36
              Principal: xxx@SMB-HK.COM
        Issued                Expires               Principal
      Apr 15 03:49:18 2020  Apr 15 13:49:12 2020  xxx              xxx@SMB-HK.COM
      IT-C02WW0JRG8WN:Volumes xxx$ mount_smbfs '//xxx.nas.aliyuncs.com/myshare' /Volumes/myshare
      IT-C02WW0JRG8WN:Volumes xxx$ mount
      /dev/disk1s1 on / (apfs, local, journaled)
      devfs on /dev (devfs, local, nobrowse)
      /dev/disk1s4 on /private/var/vm (apfs, local, noexec, journaled, noatime, nobrowse)
      map -hosts on /net (autofs, nosuid, automounted, nobrowse)
      map auto_home on /home (autofs, automounted, nobrowse)
      /dev/disk1s3 on /Volumes/Recovery (apfs, local, journaled, nobrowse)
      //xxx@xxx.nas.aliyuncs.com/myshare on /Volumes/myshare (smbfs, nodev, nosuid, mounted by xxx)
      IT-C02WW0JRG8WN:Volumes xxx$
      klist
      $ klist
      Credentials cache: API:25A9ACD7-9930-4xxx
              Principal: xxxr@SMB-HK.COM
        Issued                Expires               Principal
      Apr 15 03:49:18 2020  Apr 15 13:49:12 2020  krbtgt/SMB-HK.COM@SMB-HK.COM
      Apr 15 03:49:27 2020  Apr 15 13:49:12 2020  cifs/xxx.cn-hongkong.nas.aliyuncs.com@SMB-HK.COM
      次の例は、Kerberos チケットの取得から、ファイルシステムのマウント、マウントの確認までの一連のプロセスを示しています。

      説明

      macOS の Finder には SMB ACL は表示されませんが、AD ドメイン ID は引き続き有効です。ファイル操作を実行すると、SMB ファイルシステムは ACL をチェックして、アクションを許可または拒否します。ACL を設定するには、AD ドメインサーバーに SMB ファイルシステムをマウントし、そこで設定を行います。