לדלג לתוכן

פרק 10: שיתוף קבצים ושירותי רשת (Asset A: Instructor Reference)

1. חיבור לשרתים: עבודה עם פרוטוקול SMB, ניתוב נתיבים מול שרתי Windows.

1. תיאוריה ברמת-על והיסטוריה (High-Level Theory & History) ההיסטוריה של שיתוף קבצים ברשת בסביבות אפל עברה תמורות משמעותיות. היסטורית, אפל השתמשה בפרוטוקול AFP (Apple Filing Protocol) כפרוטוקול ברירת המחדל שלה במשך עשרות שנים. עם שחרור מערכות ההפעלה המודרניות של macOS, אפל נטשה את AFP לטובת פרוטוקול SMB (Server Message Block) ובמיוחד SMB2 ו-SMB3, כדי ליישר קו עם הסטנדרט התעשייתי. כיום, SMB הוא הפרוטוקול המועדף וברירת המחדל לחיבור לשרתי קבצים, דומיינים של Windows ומכשירי NAS מודרניים. השימוש ב-AFP הוגדר כ-Deprecated (מיושן ולא נתמך רשמית).

2. ארכיטקטורה טכנית עמוקה (Deep Technical Architecture) ברמה הארכיטקטונית, macOS נשענת על סדרת תהליכי רקע (Background Processes) כדי לנהל חיבורי SMB. התהליך smbd משמש כ-Daemon האחראי על טיפול בחיבורים נכנסים, בתנאי ששירות שיתוף הקבצים (File Sharing) מופעל בהגדרות המערכת. כאשר ה-Mac משמש כלקוח שמתחבר לשרת, התשתית NetFS (Network File System) יחד עם הרחבת הקרנל smbfs.kext מנהלים את המשא ומתן מול השרת. המערכת מנסה באופן אוטומטי למשוך את הגרסה הגבוהה ביותר האפשרית של SMB (כמו SMB 3.0 או 3.1.1) כדי לתמוך בתכונות מתקדמות כגון הצפנה עמוקה, ריבוי ערוצים (Multichannel) וגדלי חבילות מידע (MTU) גדולים יותר. תהליך האימות (Authentication) מתבצע לרוב דרך GSSAPI או NTLMv2.

3. פקודות טרמינל, קבצי Plist ולוגים (Terminal Commands, Plists & Logs)

  • פקודות טרמינל:
    • smbutil statshares -a: מציג את כל חיבורי ה-SMB הפעילים כרגע, כולל גרסת ה-Dialect שהוסכמה (למשל, SMB_3.02) ומאפייני החיבור.
    • mount_smbfs //user@server/share /Volumes/MountPoint: פקודה לעיגון (Mount) של כונן רשת ב-SMB דרך שורת הפקודה.
  • קבצי Plist וקונפיגורציה:
    • /etc/nsmb.conf: קובץ הגדרות גלובלי (שלרוב נוצר ידנית על ידי אנשי IT) שמשמש לאילוץ התנהגויות מסוימות של לקוח ה-SMB, כמו ביטול חתימת מנות (signing_required=no) או הגבלת גרסת ה-SMB לצורך תאימות עם שרתים ישנים.
  • לוגים:
    • בכלי ה-Console.app או באמצעות הפקודה log show, ניתן לסנן לפי subsystem: com.apple.smb כדי לאתר שגיאות במשא ומתן של החיבור, נפילות של מנות תקשורת או כשלי אימות.

4. מקרי קצה ופתרון תקלות (Edge Cases & Troubleshooting) מקרה קצה נפוץ הוא איטיות חמורה בזמן הצגת תוכן תיקיות כשמנווטים במבנה קבצים ענק על שרת Windows ישן. תופעה זו נגרמת לעיתים קרובות משום שה-Mac מנסה לייצר קבצי נסתרים מסוג .DS_Store על פני הרשת, או מנסה לחשב גדלים של תיקיות. כדי לפתור זאת, מנהלי רשת יכולים להריץ את הפקודה defaults write com.apple.desktopservices DSDontWriteNetworkStores -bool TRUE כדי למנוע את יצירת הקבצים הללו ב-Volume הרשתי. תקלה אחרת נובעת מדרישה קשיחה לחתימת מנות SMB (Packet Signing) מצד שרת ה-Windows, מה שגורם למק להתנתק. ניתן לאבחן זאת עם smbutil ולפתור זאת על ידי שינוי מדיניות השרת או עריכת הקובץ /etc/nsmb.conf במק.

2. שיתוף מקומי: Screen Sharing, AirDrop ו-Universal Control.

1. תיאוריה ברמת-על והיסטוריה (High-Level Theory & History) macOS מציעה חבילה של כלים לשיתוף מקומי שאינם דורשים הגדרות רשת (Zero-Configuration). טכנולוגיית ה-AirDrop חוללה מהפכה בהעברות קבצים מקומיות על ידי שימוש ב-Bluetooth לצורך גילוי ראשוני, ולאחר מכן שימוש ב-Wi-Fi Direct (פרוטוקול AWDL) להעברת המידע במהירות גבוהה, מה שמונע את הצורך בתשתית רשת מקומית רגילה. שירות שיתוף המסך (Screen Sharing) נשען במקור על פרוטוקול VNC הקלאסי, אך אפל שדרגה אותו משמעותית עם התהליך AppleVNCServer כדי לאפשר ביצועים מהירים יותר, דחיסה ואימות מוצפן. התוספת החדשה יותר, Universal Control, מאפשרת מקלדת ועכבר יחידים לחצות בצורה חלקה את הגבולות של עד שלושה מסכי מק או iPad.

2. ארכיטקטורה טכנית עמוקה (Deep Technical Architecture)

  • AirDrop: מסתמך על ממשק הרשת Apple Wireless Direct Link, המוכר במערכת כ-awdl0. בעת הפעלה, המכשיר משתמש ב-Bluetooth Low Energy (BLE) כדי לשדר גיבוב (Hash) של ה-Apple ID של המשתמש (במידה ומוגדר "אנשי קשר בלבד"). ברגע שהמכשיר המקבל מזהה את הגיבוב ומאשר אותו, שני המכשירים יוצרים חיבור Wi-Fi מסוג Peer-to-Peer כדי להזרים את הקובץ תחת הצפנת TLS.
  • Screen Sharing: מנוהל על ידי Background Process (Background Process) בשם screensharingd. הוא עושה שימוש בווריאציה שעברה אופטימיזציה כבדה של פרוטוקול RFB (Remote Framebuffer), העטופה בשכבות אבטחה ודחיסה קנייניות של אפל.
  • Universal Control: משלב Bluetooth למדידת קרבה, Wi-Fi לשידור קואורדינטות סמן בשיהוי נמוך (Low-Latency), ואת ה-Daemon שנקרא rapportd, אשר מנהל את רשת ה-Mesh המקומית בין מכשירים המחוברים לאותו חשבון iCloud מהימן.

3. פקודות טרמינל, קבצי Plist ולוגים (Terminal Commands, Plists & Logs)

  • פקודות טרמינל:
    • ifconfig awdl0: מאפשר לבחון את המצב והכתובות של ממשק ה-AWDL המשמש את טכנולוגיית AirDrop.
    • sharing -l: פקודת CLI חדישה המציגה את מצב שירותי השיתוף השונים במערכת.
    • systemsetup -setremotelogin on: פקודה להפעלה מרחוק של גישת SSH או VNC, למרות שלשליטה גרפית ספציפית אפשר גם להפעיל את תהליך ה-screensharingd באופן ישיר.
  • קבצי Plist:
    • ~/Library/Preferences/com.apple.NetworkBrowser.plist: קובץ המשמש לעיתים לניהול או איפוס העדפות צפייה של שירותי רשת מקומיים והתנהגות Legacy AirDrop בחומרה ישנה.
  • לוגים:
    • בכלי ה-Console.app ניתן לסנן לפי subsystem: com.apple.sharing או לפי התהליך sharingd כדי לראות את שלבי לחיצות היד (Handshakes) של ה-AirDrop ואת הפעלת הממשק של AWDL.

4. מקרי קצה ופתרון תקלות (Edge Cases & Troubleshooting) התקלה הנפוצה ביותר עם AirDrop ו-Universal Control היא הפרעה לממשק ה-awdl0 או סטטוס שגוי של כרטיסי ה-Bluetooth וה-Wi-Fi. אם מק לא מצליח להתגלות דרך AirDrop, פעולה פשוטה של כיבוי והדלקה של ה-Wi-Fi במערכת ההפעלה לרוב מאפסת את ממשק ה-AWDL ומחזירה אותו לתפקוד. מקרה קצה נוסף מתרחש כאשר תוכנות VPN או חומות אש (Firewall) קפדניות של צד שלישי חוסמות את התעבורה של AWDL, מה שגורם לשבירה של Universal Control. באשר ל-Screen Sharing, ניתוקים ושגיאות Time-Out נובעים לרוב אם חומת האש המובנית של macOS מוגדרת למצב "Block all incoming connections" (חסום את כל החיבורים הנכנסים) ללא החרגה של תהליך screensharingd.

3. שכפול מהיר: Mac Sharing Mode להעברת מידע כבל-לכבל.

1. תיאוריה ברמת-על והיסטוריה (High-Level Theory & History) במשך שנים רבות, מנהלי רשת בסביבת מק הסתמכו על "Target Disk Mode" (Target Disk Mode) כדי לעגן את הכונן הקשיח הפנימי של מק ככונן אחסון חיצוני וגולמי במק אחר דרך כבל FireWire או Thunderbolt. עם המעבר לארכיטקטורת Apple Silicon (והצגת מודלי אבטחה אחודים וווליום מערכת חתום - SSV), Target Disk Mode הוצא משימוש לחלוטין ומוגדר מיושן. הוא הוחלף בתכונת "Mac Sharing Mode" (Mac Sharing Mode / Share Disk), אשר משנה לחלוטין את הפרדיגמה מחיבור חומרתי ברמת הבלוק לחיבור שיתוף קבצים ברמת הרשת, שתוכנן במיוחד לשמירה על גבולות ההצפנה.

2. ארכיטקטורה טכנית עמוקה (Deep Technical Architecture) בשונה ממחשבי Intel שבהם Target Disk Mode חשף את בלוקי האחסון הגולמיים באופן ישיר למחשב המארח, מחשב Apple Silicon שנמצא במצב שיתוף מק פועל למעשה כשרת SMB מבודד וייעודי. כדי להפעיל זאת, המק חייב לאתחל אל Recovery Mode / שחזור (Recovery Mode). ברגע שהמשתמש מבצע אימות באמצעות סיסמה (מה שפענח את Volume נתונים - Data Volume), המערכת מריצה מופע קליל של תהליך smbd שפועל על גבי גשר רשת מסוג IP-over-Thunderbolt או IP-over-USB. משמעות הדבר היא שהמחשב המארח מתחבר למק ה-Apple Silicon באמצעות פרוטוקולי SMB סטנדרטיים (לדוגמה smb://IP_Address), וכך המערכת מבטיחה שמנגנוני הגנת הנתונים, FileVault ובקרות הגישה של המשתמשים נשארים תקפים ונאכפים בצורה נוקשה ברמת הקובץ.

3. פקודות טרמינל, קבצי Plist ולוגים (Terminal Commands, Plists & Logs)

  • פקודות טרמינל:
    • N/A. Mac Sharing Mode הוא פיצ'ר המונחה כולו דרך ממשק המשתמש (GUI) וניתן לגשת אליו אך ורק מתוך Recovery Mode / שחזור (Recovery Mode). לא קיימת פקודת CLI ממערכת ההפעלה החיה שתאלץ את המחשב לאתחל ישירות למצב משותף זה, וזאת מטעמי אבטחה מחמירים.
  • קבצי Plist וקונפיגורציה:
    • N/A. התצורה של מצב זה היא זמנית, מתרחשת בזמן אמת ונשמרת בזיכרון ה-RAM (Memory-Resident) בתוך מערכת ההתאוששות.
  • לוגים:
    • N/A. לוגים מסשן ארעי זה של Recovery לרוב לא נשמרים באפליקציית Console.app הסטנדרטית לאחר אתחול מחדש, אלא אם כן מתבצעת שאיבה יזומה של Sysdiagnose ישירות מתוך מצב ההתאוששות לפני היציאה ממנו.

4. מקרי קצה ופתרון תקלות (Edge Cases & Troubleshooting) אחד ממקרי הקצה שמעוררים את הבלבול הגדול ביותר בקרב אנשי IT וותיקים הוא הניסיון להשתמש בכלי תיקון דיסקים (כמו First Aid ב-Disk Utility או הפקודה fsck) ממחשב מארח כלפי מחשב יעד שמחובר ב"Mac Sharing Mode". מכיוון שמצב שיתוף מק מבוסס על SMB (ברמת הקובץ), המחשב המארח כלל אינו רואה בלוק חומרתי (Block-Device) שאותו ניתן לתקן; הוא רואה רק תיקיית רשת מעוגנת. כדי לתקן דיסק של מחשב Apple Silicon, יש להריץ את הכלים המקומיים מתוך מצב ההתאוששות של אותו מחשב עצמו. באשר לפתרון תקלות של נפילות חיבור בזמן Mac Sharing Mode, לרוב הבעיה נפתרת על ידי החלפת כבל ה-Thunderbolt, שכן חיבור IP-over-Thunderbolt רגיש מאוד לירידה באיכות הכבל.

4. תיבול ארגוני: התממשקות ל-Single Sign-On (כמו סיומת Kerberos SSO) בארגון לחיבור שקוף לכונני רשת.

1. תיאוריה ברמת-על והיסטוריה (High-Level Theory & History) בסביבות ארגוניות, התחברות לשרתי קבצים ופורטלים פנימיים דרשה בעבר מהמשתמשים לקשור (Bind) את המק שלהם ישירות מול מערכת Active Directory (AD). גישה זו יצרה ארכיטקטורה שברירית של חשבונות ניידים (Mobile Accounts) שהייתה מועדת לבעיות סנכרון רבות ב-Keychain. עקרונות ההטמעה המודרניים של אפל (Apple Platform Deployment) ממליצים בחום לנטוש לחלוטין את חיבורי ה-Bind המסורתיים. במקום זאת, אפל הציגה את מנגנון Single Sign-On (SSO) (SSO) ואת תשתית ה-Extensible SSO. הרחבת ה-Kerberos SSO Extension היא Payload (Payload) מובנה של אפל שמגשר על הפער: הוא מאפשר לחשבון המקומי של ה-Mac למשוך בשקיפות טיקט מסוג TGT (Ticket Granting Ticket) משרת ה-Active Directory הפנימי, ובכך מאפשר התחברות ללא הזנת סיסמה לשרתי SMB ולאפליקציות רשת ארגוניות. ישנה גם אפשרות של הגבלות על יכולות שיתוף מקומיות (כמו AirDrop) באמצעות מערכת MDM.

2. ארכיטקטורה טכנית עמוקה (Deep Technical Architecture) ה-Kerberos SSO Extension מתפקד נטיבית כהרחבת אפליקציה (App Extension) בתוך macOS, המנוהלת מרכזית על ידי ה-MDM בעזרת Configuration Profile (Configuration Profile). כאשר ה-Mac מזהה שהוא מחובר לרשת הפנימית (על ידי רזולוציית השם של דומיין ה-AD), ההרחבה מבקשת מהמשתמש לבצע אימות פעם אחת בלבד. לאחר מכן, היא מתקשרת בצורה מאובטחת עם שרת ה-KDC (Key Distribution Center) דרך פורט 88. לאחר אימות מוצלח, המערכת מזריקה את כרטיסי ה-Kerberos לתוך מטמון הסשן המקומי של המשתמש. כתוצאה מכך, כאשר תשתית ה-NetFS של ה-Mac מנסה להתחבר לשרת SMB פנימי, היא מציגה אוטומטית את טיקט ה-Kerberos ועוקפת את הצורך בחלון בקשת הסיסמה המסורתי. מעבר לכך, ההרחבה מנהלת הודעות על תפוגת סיסמאות ומסנכרנת בין סיסמת ה-AD לסיסמת ה-Mac המקומית. במקביל, ברמת הארכיטקטורה של השיתוף (כמו AirDrop), מערכת ה-MDM יכולה לשלוט ב-Managed Open In ובגבולות ההצפנה. במידה ומוגדרות חסימות של זליגת מידע, מערכת ההפעלה מטפלת ביעד ה-AirDrop כיעד לא מנוהל (Unmanaged Destination) וחוסמת ניתוב של מידע מסביבה מנוהלת לסביבה חיצונית.

3. פקודות טרמינל, קבצי Plist ולוגים (Terminal Commands, Plists & Logs)

  • פקודות טרמינל:
    • klist: פקודה מרכזית המציגה את כל טיקטי ה-Kerberos הנמצאים במטמון. הפקודה קריטית כדי לוודא אם הרחבת ה-SSO הצליחה לקבל טיקט (TGT).
    • kinit user@DOMAIN.COM: מבקשת בצורה ידנית טיקט מה-KDC. הפקודה שימושית במיוחד כדי לבודד האם התקלה קיימת בהרחבת ה-SSO עצמה או בחיבור הרשת מול שרת ה-AD.
    • kdestroy: מוחקת את כל כרטיסי ה-Kerberos הקיימים במטמון ומאלצת את ההרחבה לדרוש טיקט חדש.
  • קבצי Plist וקונפיגורציה:
    • ההגדרות של התשתית אינן נשמרות בקובץ Plist פשוט של משתמש, אלא מוצפנות בתוך Configuration Profile (Configuration Profile) שנשלח מה-MDM. ניתן לראות אותו באמצעות הפקודה profiles show -type configuration.
  • לוגים:
    • בכלי ה-Console.app ניתן לחפש את ה-subsystem: com.apple.ExtensibleEnterpriseSSO כדי לעקוב אחר מחזור החיים של הרחבת ה-Kerberos, כולל כשלים בזיהוי הרשת הפנימית או שגיאות בסנכרון סיסמאות.

4. מקרי קצה ופתרון תקלות (Edge Cases & Troubleshooting) מקרה קצה מרכזי מתרחש כאשר ארגון מנסה להפיץ במקביל גם את הרחבת ה-Kerberos SSO וגם את תשתית ה-Platform SSO החדישה. אפל ממליצה בחום שלא ליצור חפיפה כזו לאותו דומיין, כיוון שהן עלולות לגרום להתנגשויות חמורות בסנכרון הסיסמאות במחשב. צעד פתרון התקלות המומלץ במקרה כזה הוא להגדיר את הערך syncLocalPassword למצב FALSE בתוך ה-Payload של Kerberos, במידה וכלי אחר אחראי על ניהול הסיסמה המקומית. בנוסף, עבור שירותי AirDrop בארגון, מנהלי MDM פורסים לעיתים קרובות הגבלות יחד עם "Managed Open In". אם משתמש מתלונן שהוא לא מצליח לשתף קובץ PDF מסוים ב-AirDrop, לרוב הסיבה היא שהקובץ הגיע מאפליקציה שמוגדרת כ"מנוהלת" (Managed), וה-Payload ב-MDM חוסם בפועל שיתוף של הקובץ אל יעד "לא מנוהל" (Unmanaged Destination) כמו AirDrop. אם תכונת ה-AirDrop מנוטרלת לחלוטין מטעמי אבטחה, נדרש לרוב שהמכשיר יהיה במצב בפיקוח (Supervised) למשל דרך תהליך רישום אוטומטי.