לדלג לתוכן

מתווה מנחה - פרק 10: שיתוף קבצים ושירותי רשת (Network Services & Sharing)

1. חיבור לשרתים: עבודה עם פרוטוקול SMB, ניתוב נתיבים מול שרתי Windows

  1. Objective: התלמידים ילמדו כיצד להתחבר לשרתי קבצים וליצור נתיבי התחברות תקינים (SMB) מול סביבות עבודה מגוונות דרך הממשק הגרפי.

  2. Discussion - Script: "בואו נדבר על איך המק שלנו מתקשר עם הסביבה שסביבו כשזה מגיע לקבצים. רוב הארגונים בעולם עדיין מסתמכים על שרתי קבצים, והרבה פעמים אלו שרתי Windows. במק, פרוטוקול ברירת המחדל לשיתוף קבצים הוא SMB. אפל תומכת ב-SMB באופן מלא. אנחנו יכולים להתחבר לכל שרת שמריץ SMB, בלי בעיות של פורמט דיסק. אתם זוכרים שדיברנו על APFS? זה מעולה לדיסק עצמו, אבל ברגע שהמידע עובר דרך הרשת באמצעות פרוטוקול כמו SMB, זה כבר לא משנה אם השרת מפורמט ב-NTFS או ZFS. הפרוטוקול מגשר על הכל. כדי להתחבר לשרת, אנחנו נשתמש בחלון ה-Connect to Server דרך ה-Finder. הפורמט הנכון במק הוא smb://server_address/share_name במקום הלוכסנים ההפוכים (Backslashes) שאתם מכירים מווינדוס. אם יש לכם משתמש שמוגדר 'Sharing Only', הוא יוכל להתחבר ב-SMB ולגשת לתיקיות שהרשיתם לו, אפילו שאין לו תיקיית בית אמיתית על המחשב המארח."

  3. Demonstration:

  4. לחצו על שולחן העבודה כדי להיות ב-Finder.
  5. בתפריט העליון לחצו על Go ואז על Connect to Server (או ⌘+K).
  6. הקלידו נתיב תקין לדוגמה (למשל smb://10.0.0.5/Public).
  7. הראו לתלמידים את חלון ההזדהות (שם משתמש וסיסמה).
  8. הדגימו איך השרת מופיע תחת Locations בסרגל הצד של ה-Finder וכאייקון על שולחן העבודה (אם מוגדר ב-Finder Settings > General).

  9. הראו כיצד לשמור את הסיסמה ל-Keychain Access כדי שהחיבור הבא יהיה אוטומטי.

  10. Instructor Deep-Dive:

הרחבה טכנית למנחה: SMB ב-macOS * **SMBx:** החל מ-OS X Mavericks, חברת אפל עברה להשתמש באימפלמנטציה קניינית ל-SMB שנקראת `SMBx` (פותחה כדי להחליף את Samba מסיבות רישוי). * **גרסאות SMB:** כברירת מחדל, המק ינסה להתחבר ב-SMB 3 (ויתמוך בהצפנה מלאה מול שרתים תומכים) וירד ל-SMB 2 במידת הצורך. פרוטוקול SMB 1 מושבת מטעמי אבטחה כברירת מחדל. * **קובץ תצורה `nsmb.conf`:** במקרי קצה, אם נדרשת קונפיגורציה קשיחה ברמת הרשת (למשל ביטול Packet Signing כדי לשפר ביצועים מול שרתי צד-שלישי מסוימים שעושים בעיות), ניתן ליצור קובץ תצורה מוסתר בנתיב `~/Library/Preferences/nsmb.conf` או ברמת המערכת תחת `/etc/nsmb.conf`. * **פקודות טרמינל (smbutil):** במידה ויש בעיות חיבור, המנחה יכול להשתמש בפקודת `smbutil statshares -a` בטרמינל כדי לבדוק באיזו גרסת SMB השרת מחובר כרגע והאם הוא תומך בתכונות מתקדמות. לחיבור בשורת הפקודה משתמשים ב-`mount_smbfs`.

2. שיתוף מקומי: Screen Sharing, AirDrop ו-Universal Control

  1. Objective: הכרת ושליטה בדרכים המובנות והמהירות של macOS לשתף תוכן ומשאבים בין מכשירים של אפל בסביבה המקומית, תוך שימוש בממשק המשתמש (System Settings).

  2. Discussion - Script: "לפעמים הבעיה היא לא להתחבר לשרת מרוחק, אלא פשוט להעביר קובץ או לעבוד יחד עם המק שיושב מטר מאיתנו. כאן האקוסיסטם של אפל באמת זורח. קודם כל, יש לנו את AirDrop. כלי מדהים להעברת קבצים, אבל אם הקובץ ירד מהאינטרנט או עבר ב-AirDrop, אל תשכחו ש-macOS מיד תשים אותו ב'הסגר' (Quarantine) עד ש-XProtect יוודא שהוא נקי. לגבי שליטה מרחוק באותה רשת, יש למק מנגנון מובנה שנקרא Screen Sharing. זה בעצם יישום מעולה של VNC שהוטמע ישירות לתוך המערכת. אתם יכולים לגשת למסך של מק אחר ברשת בלחיצת כפתור, או לבקש גישה למסך של משתמש אחר כדי לעזור לו ב-Helpdesk, וכל זה תחת הגדרות ה-Sharing. ומה זה Universal Control? זה פיצ'ר קסום. אם יש לי מק ואייפד, או שני מקים, שיושבים אחד ליד השני ומחוברים לאותו חשבון אפל, אני יכול להעביר את העכבר והמקלדת מהמסך של המק שלי ישירות למסך של המכשיר השני. בלי כבלים, בלי הגדרות מסובכות. העכבר פשוט קופץ ממסך למסך."

  3. Demonstration:

  4. Screen Sharing: כנסו ל-System Settings > General > Sharing והדליקו את Screen Sharing. לחצו על כפתור ה-Info (i) והראו שאפשר להגביל אילו משתמשים (Local Accounts) רשאים להתחבר. הראו את אפליקציית Screen Sharing (שניתן למצוא ב-Spotlight או ב-/System/Library/CoreServices/Applications/) ואיך מקלידים בה שם משתמש של Bonjour או כתובת IP.
  5. AirDrop: פתחו חלון Finder חדש, לחצו על AirDrop בסרגל הצד, הראו את אפשרויות הגילוי ("Contacts Only" מול "Everyone for 10 minutes") והדגימו שליחת קובץ ממכשיר אחר אל המק של ההדגמה.

  6. Universal Control: אם אפשרי מבחינת חומרה (יש אייפד או מק נוסף באותה רשת עם אותו Apple ID), כנסו ל-System Settings > Displays > Advanced והראו את הגדרות ה-Universal Control, ואז משכו את העכבר אל מחוץ למסך להמחשה ויזואלית חיה.

  7. Instructor Deep-Dive:

הרחבה טכנית למנחה: פרוטוקולי שיתוף מקומי * **AirDrop Under the Hood:** מבוסס על שילוב של פרוטוקול Bluetooth LE ליצירת ה-Discovery הראשוני (לזיהוי מכשירים קרובים ולחיצת היד) ורשת Wi-Fi Direct (Peer-to-Peer) להעברת הנתונים עצמם במהירות גבוהה. לכן גם Wi-Fi וגם Bluetooth חייבים להיות דולקים. בארגונים גדולים עם רשתות מוצפנות וחששות מזליגת מידע (DLP), פעמים רבות AirDrop ייחסם דרך ה-MDM באמצעות Payload (פיילוד) הגבלות תואם. * **VNC ו-Screen Sharing:** שירות ה-Screen Sharing של המק רוכב על הפורט הסטנדרטי של פרוטוקול VNC (פורט 5900). ניתן לגלות שירותים אלו דרך שורת הפקודה עם `dns-sd -B _rfb._tcp`. אדמינים שאוהבים CLI יכולים להפעיל את ה-Screen Sharing מרחוק באמצעות פקודת ה-kickstart של Apple Remote Desktop (ARD) שמסתתרת בנתיב: `/System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart` * **Quarantine Flag - `com.apple.quarantine`:** כל קובץ שמועבר ב-AirDrop או מורד מהרשת מקבל Attribute מיוחד שמשמש כדגל. מערכת ה-Gatekeeper קוראת את הדגל הזה ומיד מפעילה את מנגנוני ה-Malware Scanning וה-Notarization לפני שתאפשר פתיחה.

3. שכפול מהיר: Mac Sharing Mode להעברת מידע כבל-לכבל

  1. Objective: התלמידים ילמדו להשתמש במצב שיתוף מק (Mac Sharing Mode) מתוך סביבת ה-Recovery כדי לגשת ישירות לכונן של מק תקול או לצורך העברת נתונים מאסיבית.

  2. Discussion - Script: "בואו נדבר על תרחיש טכנאי קלאסי, זה קורה לנו המון בתמיכה. יש לכם משתמש שהמערכת שלו קורסת. המק נדלק, אבל ה-macOS לא מוכן להיטען עד הסוף (Panic או תקלת שדרוג), והמשתמש נואש להוציא איזה קובץ פרויקט חשוב מהשולחן עבודה. פעם, במחשבי אינטל, היינו משתמשים ב-Target Disk Mode. במחשבי Apple Silicon, השם והמנגנון השתנו מהותית. היום זה נקרא 'Mac Sharing Mode' - או Mac Sharing Mode (מצב שיתוף מק). זה כלי הצלה מדהים. במקום לנסות להוציא את הדיסק מבפנים (מה שאי אפשר כי הכל מולחם ל-SoC ב-Apple Silicon), אנחנו מחברים את המק התקול למק העובד שלנו באמצעות כבל Thunderbolt או כבל USB-C פשוט. אנחנו נכנסים ל-Recovery Mode במק התקול, מדליקים שם את ה-Share Disk, ואז המק העובד שלנו פשוט רואה אותו תחת Network ב-Finder, למרות שהם מחוברים פיזית בכבל! זה מתנהג כמו כונן רשת מהיר מאוד. וזה עובד כמובן רק בכפוף להזנת סיסמת המשתמש המקומי, כי הכל הרי מוצפן ב-FileVault. זה מציל חיים עבור אנשי IT תחת לחץ."

  3. Demonstration:

  4. (למנחה כנראה לא יהיה מחשב נוסף כבוי ב-Recovery Mode להדגמה חיה, אז נדגים את התפריט הרגיל והסבר בעל-פה).
  5. כנסו ל-System Settings > General > Sharing.
  6. הראו שיש שם את ה-File Sharing הסטנדרטי להפעלת שיתוף ב-SMB מתוך המערכת עצמה, ושתחת כפתור ה-(i) אפשר לבחור אילו תיקיות לשתף.
  7. הסבירו שלצורך Mac Sharing Mode ההליך שונה: נדרש כיבוי מוחלט של המחשב (Shut Down), הפעלתו במצב התאוששות (Recovery Mode - לחיצה ארוכה ורצופה על כפתור ההדלקה ב-Apple Silicon עד להופעת 'Loading startup options'), ושם מתפריט Utilities בעליון נבחר ב-Share Disk.

  8. הדגימו היכן הדיסק ייראה במק המארח השני: הוא יופיע בסרגל הצד של ה-Finder תחת קטגוריית 'Network' (או על ידי לחיצה על Shift+Cmd+K), לחיצה עליו תדרוש 'Connect As' והקלדת שם וסיסמה של המק התקול כדי לפענח את ה-Volume.

  9. Instructor Deep-Dive:

הרחבה טכנית למנחה: Target Disk מול Mac Sharing * **ההבדל הארכיטקטוני המהותי:** בעבר, במחשבי מבוססי Intel, מצב ה-Target Disk Mode חשף את הדיסק לחלוטין ברמת החומרה הנמוכה (כ-Block Device ישיר) ל-Mac המארח דרך בקר ה-Thunderbolt/Firewire. ב-Apple Silicon, בגלל ארכיטקטורת האבטחה הנוקשה (Secure Enclave) וההצפנה הפנימית הקשורה לחומרה הספציפית, המחשב המארח אינו יכול לגשת למידע ישירות! המק התקול *חייב* להריץ מערכת הפעלה מינימלית שתפענח את הדיסק עם המפתחות שלה, ואז תשתף אותו. * **SMB Over Thunderbolt:** לכן, מה שקורה ב-`Mac Sharing Mode` זה שסביבת ה-Recovery מריצה שרת מינימלי המשתף את הכונן בפרוטוקול **SMB** על גבי רשת TCP/IP וירטואלית שרצה לחלוטין על גבי כבל ה-USB/Thunderbolt שמחבר ביניהם. * **משמעות אבטחתית (FileVault & TCC):** בגלל המעבר הזה, לא מספיק לחבר את הכבל הפיזי; חובה להזין באופן פעיל את סיסמת המשתמש הקריפטוגרפית כדי שה-Recovery יוכל לעשות Unlock ל-Data Volume הספציפי ולחשוף אותו.

4. תיבול ארגוני: התממשקות ל-Single Sign-On (כמו סיומת Kerberos SSO) בארגון לחיבור שקוף לכונני רשת

  1. Objective: הבנת הערך המוסף של טכנולוגיות Single Sign-On (SSO) בסביבת Enterprise, ואופן היישום של הרחבת Kerberos ליצירת חווית חיבור שקופה ואוטומטית לשרתי רשת פנימיים דרך ממשק המשתמש.

  2. Discussion - Script: "בסביבה ארגונית מודרנית עם מאות ואלפי עובדים, אנחנו רוצים שחוויית המשתמש תהיה שקופה ככל האפשר. דמיינו מצב שבו המשתמש פותח את המק בבוקר, מקליד סיסמה ל-VPN, ואז צריך להקליד שוב סיסמה כדי להתחבר לתיקיית המחלקה שלו ב-SMB, ואז שוב סיסמה כדי להיכנס לפורטל HR הארגוני בדפדפן. זה מתיש משתמשים, וזה גורר בלי סוף קריאות תמיכה של 'ננעל לי המשתמש' או 'שכחתי את הסיסמה ל-Active Directory'. כדי לפתור את זה במקים, אפל יצרה מנגנון שנקרא Single Sign-On Extensions (SSO). אם פעם ההמלצה בארגונים הייתה לחבר מקים ישירות ל-Active Directory (פעולה שנקראת Binding דרך Directory Utility), היום זה נחשב לפרקטיקה רעה מאוד שמביאה לתקלות סנכרון רבות! המגמה המודרנית היא לשמור את המק כ'עצמאי', ובמקום Binding, מערכת ה-MDM שלנו דוחפת למחשב פרופיל SSO מיוחד. התוסף הנפוץ ביותר של אפל לזה הוא ה-Kerberos SSO Extension. ברגע שהמשתמש מחובר ל-VPN, התוסף הקטן הזה מזהה את התקשורת לשרת הארגוני ומושך מאחורי הקלעים Token התחברות קריפטוגרפי מה-Active Directory. מאותו רגע, כשהמשתמש ינסה להיכנס לתיקיית SMB הארגונית – הוא פשוט ייכנס אוטומטית! המק משתמש ב-Ticket של ה-Kerberos ומציג אותו לשרת בלי להקפיץ שום חלון סיסמה. הכל קורה שקוף ובצורה מאובטחת."

  3. Demonstration:

  4. הראו לתלמידים היכן ממוקם הפרופיל בהגדרות (אם קיים בסביבת ההדרכה): היכנסו ל-System Settings > Profiles. הסבירו שפרופיל מסוג 'Extensible Single Sign-On' נדחף כ-Payload שקט לחלוטין דרך מערכת ה-MDM (Jamf, Intune וכו').

  5. אם מותקן בפועל, הראו את סמל המפתח (Key) השחור בשורת התפריטים העליונה - הראו ששם משתמש הקצה רואה את חיבור ה-Kerberos שלו ויכול ללחוץ עליו כדי לשנות סיסמה ארגונית בקלות.

  6. Instructor Deep-Dive:

הרחבה טכנית למנחה: SSO Extensions ו-Kerberos * **האבולוציה של הזדהות ארגונית במק:** אפל שילבה הרחבה מובנית שנקראת **Kerberos SSO Extension** שמחליפה כלי ישן יותר שנקרא 'Enterprise Connect'. במקום Binding מלא ל-AD (שיוצר בעיות חמורות כאשר המשתמש נמצא אופליין בבית, משנה סיסמה ב-VPN והמק המקומי מאבד סנכרון ומייצר Mobile Accounts תקולים), ההרחבה רק דוגמת את רשת ה-AD בעת חיבור כדי לקבל Ticket-Granting Ticket (TGT). המק עצמו נשאר בחשבון לוקאלי נפרד לחלוטין. * **Sync סיסמה מקומית:** למרות שהחשבונות מופרדים, אם ה-IT מגדיר זאת בפרופיל ה-MDM, ה-Kerberos Extension יכול להציע למשתמש לסנכרן ולתאם את סיסמת ה-Local Admin שלו לסיסמת ה-AD כדי לשמור על אחידות ונוחות (הוא יזהה שינוי ויציג פופאפ המבקש לעדכן את המק). * **פקודות דיאגנוסטיקה מהירות:** במידה ויש בעיות התחברות שקטה לשרתי SMB בארגון, המנחה יכול להשתמש בפקודת `app-sso -l` בטרמינל כדי לראות את ההרחבות, ובפקודת `klist` כדי לראות האם קיימים בכלל כרטיסי Kerberos (Tickets) תקפים במערכת, ואת פגות התוקף שלהם. כדי להשמיד כרטיסים קיימים שאולי תקולים ולאלץ את ההרחבה למשוך TGT חדש מהשרת, אפשר להריץ את פקודת ה-`kdestroy`.