一般情況下,NAS文件系統需要在同賬號、同地域、同VPC下的計算節點中掛載訪問。如果您想在macOS客戶端中掛載NAS,則必須連通NAS所在地域VPC的網絡。本文檔介紹macOS客戶端如何通過VPN掛載SMB協議文件系統以及如何使用macOS客戶端通過Kerberos協議訪問SMB協議文件系統。
前提條件
macOS客戶端掛載SMB協議文件系統
通過VPN網關建立VPC到macOS客戶端的遠程連接。具體操作,請參見Mac客戶端遠程連接。
驗證macOS客戶端和SMB協議文件系統掛載點的連通性。
驗證網絡連通性
VPN網關連接后,通過ping命令ping VPC內SMB協議文件系統掛載點,驗證通信是否正常。
說明如果掛載點無法ping通,則需要通過一臺與SMB協議文件系統在同一VPC下的ECS云服務器ping掛載點得到掛載點IP,使用掛載點IP在macOS上進行掛載操作。
驗證服務端口連通性
telnet [SMB協議文件系統掛載點] 445
掛載SMB協議文件系統。
在macOS客戶端桌面頂部的Finder欄,單擊。
在Connect to Server對話框,輸入掛載點,單擊Connect。
在對話框Connect As區域,選中Guest,單擊Connect。
在macOS客戶端桌面頂部的Finder欄,單擊,選中myshare頁簽查看已掛載的SMB協議文件系統。
說明掛載完成后,macOS客戶端會去讀取掛載的NAS中所有文件。文件讀取過程中,myshare可能顯示為空,請您耐心等待。
執行mount_smbfs命令行掛載SMB協議文件系統。示例如下:
mount_smbfs '//guest@nas-mount-point.nas.aliyuncs.com/myshare' /Volumes/myshare/其中
nas-mount-point.nas.aliyuncs.com為SMB協議文件系統的專有網絡掛載點,請根據實際值替換。如返回如下類似信息,說明掛載成功。
macOS客戶端通過Kerberos協議訪問SMB協議文件系統
SMB協議文件系統默認只支持NTLM鑒權協議,無論macOS客戶端以什么身份掛載,鑒權后得到的身份均為Everyone,默認擁有所有權限。而阿里云NAS SMB協議文件系統支持基于AD域的用戶身份認證和文件系統級別的權限訪問控制。您可以通過以下步驟控制不同用戶訪問SMB協議文件系統的權限。
搭建AD域。具體操作,請參見使用Windows實例搭建AD域。
建立SMB協議文件系統掛載點與AD域的連接。具體操作,請參見將SMB協議文件系統掛載點接入AD域。
添加VPN SSL網段到安全組。具體操作,請參見添加安全組規則。
請您在ECS實例的安全組中添加如下端口權限,確保macOS客戶端的DNS請求和SMB請求在AD域中可執行。
DNS端口:UDP 53
Kerberos端口:TCP 88
LDAP端口:TCP 389
LDAP Global Catalog端口:TCP 3268
設置macOS客戶端的DNS為AD域服務器。
通過ipconfig命令在AD域服務器上查詢內網IP。
在macOS客戶端桌面頂部的Finder欄,單擊。
在Network對話框,將macOS客戶端的DNS設置為AD域服務器內網IP。
驗證macOS客戶端與AD域的連接。
使用ping命令連接AD域,如下圖示例即為連接成功。
配置macOS客戶端通過Kerberos協議掛載SMB協議文件系統。
執行kinit,驗證AD域身份安全性。示例如下:
kinit user@MYDOMAIN.COM執行
klist命令,查看AD域身份。示例如下:klist執行
kinit命令,啟動AD域身份。示例如下:kinit執行命令,掛載SMB協議文件系統。示例如下:
mount_smbfs //administrator@nas-mount-point.nas.aliyuncs.com/myshare /Volumes/myshare說明若出現如
mount_smbfs: server rejected the connection: Authentication error的報錯信息,請執行kinit命令,驗證AD域身份后再次執行掛載。掛載成功會返回如下信息:
掛載成功后執行klist命令,會顯示兩個服務主體,如下圖所示:
說明macOS客戶端不會顯示SMB ACL,但實際AD域身份已生效。您在對任何文件進行操作時,SMB協議文件系統都會先驗證ACL,然后允許或禁止該操作。如需設置ACL,請您在AD域服務器掛載該SMB協議文件系統時進行配置。