0 votos

Slawek avatar

Montar una carpeta de red compartida utilizando un grupo de seguridad de dominio de directorio activo.

Preguntado el 19 de Abril, 2024
Cuando se hizo la pregunta
29 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Antecedentes: Estoy tratando de implementar una estrategia de respaldo personalizada en mi laboratorio. Un script de "activación" se ejecuta periódicamente en la computadora, recupera las instrucciones de respaldo más recientes para la máquina de una carpeta compartida en la red (accedida a través de samba en la red local) y escribe los archivos de registro resultantes en esa misma carpeta compartida. El primer paso en el script de activación es montar la carpeta compartida para leer/escribir archivos.

Lo que funciona: Nuestro departamento de TI ha creado un grupo de seguridad de directorio activo que contiene las máquinas permitidas para acceder a la carpeta compartida. Las máquinas con Windows, así como las máquinas con MacOS, están incluidas en los miembros del grupo. En Windows, la cuenta "System" puede conectarse a la carpeta compartida para leer y escribir archivos sin necesidad de proporcionar credenciales. No es necesario montar ya que podemos leer archivos desde \serverip\share En MacOS, puedo montar la carpeta compartida usando mount_smbfs si proporciono las credenciales de un usuario autorizado.

El problema: En MacOS, no puedo montar sin proporcionar credenciales de usuario. El montaje de la carpeta compartida con mount_smbfs falla con: "el servidor rechazó la conexión: error de autenticación". mount_smbfs parece esperar credenciales autorizadas, mientras que espero montar sin pasar credenciales, utilizando el grupo de seguridad de AD. Estoy ejecutando los comandos como root.

Lo que he revisado:

  • Las computadoras están unidas al dominio
  • Los nombres de host coinciden con los nombres de objeto en el Directorio Activo
  • Usar el nombre de host o domain\host como nombre de usuario para la carpeta compartida no funciona
  • Usar la opción -N para evitar la solicitud de contraseña no resuelve el problema

No tengo control sobre las carpetas compartidas de samba, solo las maneja nuestro departamento de TI.

¿Hay alguna información/configuración obvia que me esté perdiendo para montar una carpeta compartida como root sin credenciales en macOS?

Preguntado el 19 de Abril, 2024 por Slawek

Respuesta

¿Demasiados anuncios?

1voto

Slawek avatar
Slawek Puntos 13

Después de realizar más investigaciones, descubrí que MacOS almacena el ID y la contraseña del equipo de Active Directory en el llavero del sistema (consulte la fuente a continuación). Esto fue útil para resolver mi problema, así que aquí está la respuesta completa:

RECUPERAR LA CUENTA DE EQUIPO Y CONTRASEÑA DE ACTIVE DIRECTORY

La contraseña y la cuenta del equipo se pueden recuperar desde la terminal utilizando el comando security find-generic-password. Parece que se necesita sudo para obtener la contraseña, pero no la cuenta.

Como ejemplo, para un Mac llamado COMPUTER01 y vinculado al dominio DOMAIN: security find-generic-password –sw "/Active Directory/DOMAIN" /Library/Keychains/System.keychain retornará la forma legible por humanos de la contraseña.

security find-generic-password -s "/Active Directory/DOMAIN" /Library/Keychains/System.keychain | grep -m 1 "acct" | sed -e 's/"acct"\="//' -e 's/"//' | tr -d ' ' retornará la cuenta del equipo (en este caso computer01$, nota el $ al final)

Alternativamente, utilizando la utilidad Keychains, también se puede navegar a la sección del sistema y revelar la cuenta y la contraseña utilizando la interfaz gráfica.

MONTAR UNA COMPARTICIÓN SAMBA USANDO LA AUTENTICACIÓN DEL EQUIPO

Prerrequisito: su equipo debe tener acceso a la compartición en el Active Directory - en mi caso usando un grupo de seguridad.

  1. Recuperar la cuenta de equipo y la contraseña de Active Directory como se describe arriba
  2. Si es necesario, cree el punto de montaje /ruta/al/punto-de-montaje
  3. Use mount -t smbfs //$account:$password@share /ruta/al/punto-de-montaje para montar la compartición. Importante, $account y $password deben ser codificados en URL para evitar que los caracteres especiales sean interpretados.
  4. Cuando haya terminado, use diskutil unmount /ruta/al/punto-de-montaje para desmontar la compartición

Enlace a la fuente: https://chrisbrown.au/techblog/how-to-retrieve-mac-os-x-10-8-active-directory-computer-account-password/

Respondido el 26 de Abril, 2024 por Slawek (13 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X