SMB遠端檔案傳輸協定在遠端檔案系統領域具有相當的統治地位。主流用戶端廠家,包括微軟、蘋果以及Linux生态圈都支援SMB協定,并且蘋果的MacOS已經将SMB作為其預設的遠端檔案協定。
作為國内雲廠商的龍頭企業,阿裡雲NAS SMB檔案系統也可以支援MacOS用戶端。接下來就給大家介紹如何用MacOS用戶端連接配接阿裡雲NAS SMB檔案系統。
本篇文章分為兩個部分:MacOS用戶端連接配接專有網絡内的NAS SMB挂載點;MacOS用戶端通過Kerberos連接配接AD域内的NAS SMB挂載點。
1. MacOS用戶端連接配接專有網絡(VPC)内的NAS SMB挂載點
1.1. 建立VPC和NAS SMB挂載點
參考
檔案存儲 > 使用者指南 > 管理挂載點建立VPC和NAS SMB檔案系統挂載點。
1.2. MacOS用戶端通過SSL-VPN接入VPC
Mac用戶端遠端連接配接通過SSL-VPN接入VPC。
1.2.1. 建立VPN網關
1.2.2. 建立SSL服務端
需要注意本端網段是VPC的網段,比如如果VPC的網段是172.31.0.0/16,本端網段就填172.31.0.0/16。用戶端網段與本端網段不重合,比如192.168.1.0/24。
1.2.3. 建立并下載下傳SSL用戶端證書
按照
就可以配置成功。
1.2.4. 連接配接測試
OpenVPN連接配接後,ping VPC内的挂載點可以成功。
1.3. 挂載NAS SMB
可以使用MacOS的Finder->Go->Connect to Server挂載,選擇Guest身份。參考
Apple Mac OS X connect to SMB share。
注意使用Finder時myshare挂載完成之後可能顯示myshare的内容為空,是因為MacOS會去詢問所有檔案的資訊,延遲較大或者檔案較多的時候需要等一段時間才能看到内容,請耐心等待。
也可以使用mount_smbfs指令挂載,nas-mount-point.nas.aliyuncs.com為1.1.中創造的挂載點
mount_smbfs '//[email protected]/myshare' /Volumes/myshare/ 挂載之後就可以正常使用挂載卷。
2. MacOS通過Kerberos挂載與使用VPC中的NAS SMB卷
在預設情況下NAS SMB卷隻支援NTLM鑒權協定,無論以哪個身份挂載,鑒權後得到的身份都是Everyone。預設Everyone擁有所有權限。
最近NAS SMB開始支援AD功能,使用者可以在VPC中建立一個Windows作業系統的AD伺服器,然後給NAS SMB卷設定一個服務賬号,并上傳服務賬号的Keytab檔案到NAS控制台。之後使用者就可以在MacOS用戶端上使用Kerberos協定鑒權,鑒權時使用的AD域身份就是使用者挂載後的身份。挂載後ACL将啟用,使用者對于某個檔案檔案夾擁有何種權限取決于檔案檔案夾上的ACL權限表。
官方文檔:
使用AD域實作使用者身份認證和檔案級别的權限通路控制2.1. 将NAS SMB卷接入AD域
将阿裡雲SMB協定檔案系統挂載點接入AD域,進行以下幾個步驟:
2.1.1. 安裝ADDS和DNS,建立AD伺服器
請參考
安裝并啟用Active Directory域服務與DNS服務完成該步驟。
2.1.2. 添加服務賬号
dsadd user CN=alinas,DC=MYDOMAIN,DC=com -samid alinas -display "Alibaba Cloud NAS Service Account" -pwd tHePaSsWoRd123 -pwdneverexpires yes 2.1.4. 注冊NAS檔案系統挂載點
setspn -S cifs/nas-mount-point.nas.aliyuncs.com alinas setspn成功之後顯示如下:
另外這一步成功之後在AD伺服器上嘗試挂載AD域的卷挂載點,會發現鑒權已經開始使用Kerberos。
net use z: \\nas-mount-point.nas.aliyuncs.com\myshare 2.1.5. 生成Keytab服務賬号秘鑰檔案
ktpass -princ cifs/[email protected] -ptype KRB5_NT_PRINCIPAL -crypto All -out c:\nas-mount-point.keytab -pass tHePaSsWoRd123 2.1.6. 将Keytab上傳到NAS控制台
NAS SMB ACL控制台已經在亞太南部1(孟買)和中國香港(香港)區域上線,其他區域也在陸續上線中。如果您需要的區域沒有上線,可以發工單聯系我們上傳Keytab。其他具體内容請參考官方文檔:
2.2. 将NAS AD SMB卷配置為MacOS可以通路
2.2.1. 添加VPN SSL網段到安全組
如果不添加足夠的權限,MacOS的DNS和SMB請求在AD域中走不通。需要在ECS的VPC安全組中添加下面的權限。
需要添加:
- DNS端口:UDP 53
- Kerberos端口:TCP 88
- LDAP端口:TCP 389
- LDAP Global Catalog端口:TCP 3268
2.2.2. 将MacOS的DNS設定為AD伺服器
ipconfig指令在AD伺服器上找到内網IP。然後将它設定成MacOS的DNS。
ping測試可以連通AD域名。
2.2.3. MacOS用Kerberos鑒權以及AD域使用者身份挂載NAS SMB
用kinit [email protected]得到AD身份,klist驗證身份已經得到,kinit告訴mount_smbfs要啟動身份,最後用mount_smbfs指令挂載。
kinit [email protected]
klist
kinit
mount_smbfs //[email protected]/myshare /Volumes/myshare 如果出現錯誤mount_smbfs: server rejected the connection: Authentication error,說明mount_smbfs走到了NTLM,請運作kinit啟用身份再mount_smbfs。
一個成功的例子:
成功後klist會顯示兩個principals:
注意MacOS用戶端不會顯示SMB ACL,但是AD域使用者身份是起作用的。使用者對任何檔案進行操作時,NAS SMB卷會驗證ACL,然後允許或者禁止該操作。如需設定ACL可以在AD伺服器上挂載該卷進行設定。