MacOS客户端通过阿里云VPN连接阿里云NAS SMB文件系统-阿里云开发者社区

开发者社区> 阿里云存储服务> 正文

MacOS客户端通过阿里云VPN连接阿里云NAS SMB文件系统

简介: SMB远程文件传输协议在远程文件系统领域具有相当的统治地位。主流客户端厂家,包括微软、苹果以及Linux生态圈都支持SMB协议,并且苹果的MacOS已经将SMB作为其默认的远程文件协议。作为国内云厂商的龙头企业,阿里云NAS SMB文件系统也可以支持MacOS客户端。

SMB远程文件传输协议在远程文件系统领域具有相当的统治地位。主流客户端厂家,包括微软、苹果以及Linux生态圈都支持SMB协议,并且苹果的MacOS已经将SMB作为其默认的远程文件协议。
作为国内云厂商的龙头企业,阿里云NAS SMB文件系统也可以支持MacOS客户端。接下来就给大家介绍如何用MacOS客户端连接阿里云NAS SMB文件系统。
本篇文章分为两个部分:MacOS客户端连接专有网络内的NAS SMB挂载点;MacOS客户端通过Kerberos连接AD域内的NAS SMB挂载点。

1. MacOS客户端连接专有网络(VPC)内的NAS SMB挂载点


1.1. 建立VPC和NAS SMB挂载点


参考文件存储 > 用户指南 > 管理挂载点创建VPC和NAS SMB文件系统挂载点。
专有网络下的挂载点

1.2. MacOS客户端通过SSL-VPN接入VPC


参考Mac客户端远程连接通过SSL-VPN接入VPC。

1.2.1. 创建VPN网关

1.2.2. 创建SSL服务端


需要注意本端网段是VPC的网段,比如如果VPC的网段是172.31.0.0/16,本端网段就填172.31.0.0/16。客户端网段与本端网段不重合,比如192.168.1.0/24。
VPC配置

SSL服务端

1.2.3. 创建并下载SSL客户端证书


按照Mac客户端远程连接就可以配置成功。

1.2.4. 连接测试


OpenVPN连接后,ping VPC内的挂载点可以成功。
Ping VPC内NAS SMB挂载点

1.3. 挂载NAS SMB


可以使用MacOS的Finder->Go->Connect to Server挂载,选择Guest身份。参考Apple Mac OS X connect to SMB share
注意使用Finder时myshare挂载完成之后可能显示myshare的内容为空,是因为MacOS会去询问所有文件的信息,延迟较大或者文件较多的时候需要等一段时间才能看到内容,请耐心等待。

也可以使用mount_smbfs命令挂载,nas-mount-point.nas.aliyuncs.com为1.1.中创造的挂载点

mount_smbfs '//guest@nas-mount-point.nas.aliyuncs.com/myshare' /Volumes/myshare/

挂载之后就可以正常使用挂载卷。

2. MacOS通过Kerberos挂载与使用VPC中的NAS SMB卷


在默认情况下NAS SMB卷只支持NTLM鉴权协议,无论以哪个身份挂载,鉴权后得到的身份都是Everyone。默认Everyone拥有所有权限。
最近NAS SMB开始支持AD功能,用户可以在VPC中建立一个AD服务器,然后给NAS SMB卷设置一个服务账号,并上传服务账号的Keytab文件到NAS控制台。之后用户就可以使用Kerberos协议鉴权,鉴权时使用的AD域身份就是用户挂载后的身份。挂载后ACL将启用,用户对于某个文件文件夹拥有何种权限取决于文件文件夹上的ACL权限表。
官方文档:使用AD域实现用户身份认证和文件级别的权限访问控制

2.1. 将NAS SMB卷接入AD域


参考将阿里云SMB协议文件系统挂载点接入AD域,进行以下几个步骤:

2.1.1. 安装ADDS和DNS,建立AD服务器


请参考安装并启用Active Directory域服务与DNS服务完成该步骤。

2.1.2. 添加服务账号

dsadd user CN=alinas,DC=MYDOMAIN,DC=com -samid alinas -display "Alibaba Cloud NAS Service Account" -pwd tHePaSsWoRd123 -pwdneverexpires yes

2.1.4. 注册NAS文件系统挂载点

setspn -S cifs/nas-mount-point.nas.aliyuncs.com alinas

setspn成功之后显示如下:
setspn以后

另外这一步成功之后在AD服务器上尝试挂载AD域的卷挂载点,会发现鉴权已经开始使用Kerberos。

net use z: \\nas-mount-point.nas.aliyuncs.com\myshare

Kerberos Wireshark截图

2.1.5. 生成Keytab服务账号秘钥文件

ktpass -princ cifs/nas-mount-point.nas.aliyuncs.com@MYDOMAIN.com -ptype KRB5_NT_PRINCIPAL -crypto All -out c:\nas-mount-point.keytab -pass tHePaSsWoRd123

2.1.6. 将Keytab上传到NAS控制台


NAS SMB ACL控制台已经在亚太南部1(孟买)和中国香港(香港)区域上线,其他区域也在陆续上线中。如果您需要的区域没有上线,可以发工单联系我们上传Keytab。其他具体内容请参考官方文档:使用AD域实现用户身份认证和文件级别的权限访问控制

2.2. 将NAS AD SMB卷配置为MacOS可以访问


2.2.1. 添加VPN SSL网段到安全组


如果不添加足够的权限,MacOS的DNS和SMB请求在AD域中走不通。
VPC安全组设置
需要添加:
  1. DNS端口:UDP 53
  2. Kerberos端口:TCP 88
  3. LDAP端口:TCP 389
  4. LDAP Global Catalog端口:TCP 3268

2.2.2. 将MacOS的DNS设置为AD服务器


ipconfig命令在AD服务器上找到内网IP。然后将它设置成MacOS的DNS。
设置MacOS的DNS

ping测试可以连通AD域名。
ping测试可以连通AD域名

2.2.3. MacOS用Kerberos鉴权以及AD域用户身份挂载NAS SMB


用kinit user@MYDOMAIN.COM得到AD身份,klist验证身份已经得到,kinit告诉mount_smbfs要启动身份,最后用mount_smbfs命令挂载。
kinit user@MYDOMAIN.COM
klist
kinit
mount_smbfs //administrator@nas-mount-point.nas.aliyuncs.com/myshare /Volumes/myshare

如果出现错误mount_smbfs: server rejected the connection: Authentication error,说明mount_smbfs走到了NTLM,请运行kinit启用身份再mount_smbfs。
一个成功的例子:
mount_smbfs成功

成功后klist会显示两个principals:
klist有两个principals

注意MacOS客户端不会显示SMB ACL,但是AD域用户身份是起作用的。用户对任何文件进行操作时,NAS SMB卷会验证ACL,然后允许或者禁止该操作。如需设置ACL可以在AD服务器上挂载该卷进行设置。

参考文档

  1. 文件存储 > 用户指南 > 管理挂载点
  2. Mac客户端远程连接
  3. Apple Mac OS X connect to SMB share
  4. 使用AD域实现用户身份认证和文件级别的权限访问控制
  5. 将阿里云SMB协议文件系统挂载点接入AD域
  6. 安装并启用Active Directory域服务与DNS服务
  7. nsmb.conf说明文档

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:

阿里云存储基于飞天盘古2.0分布式存储系统,产品多种多样,充分满足用户数据存储和迁移上云需求。

官方博客
链接