מתווה מנחה - שיעור 10: שיתוף קבצים ושירותי רשת (Network Services & Sharing)¶
1. חיבור לשרתים: עבודה עם פרוטוקול SMB, ניתוב נתיבים מול שרתי Windows¶
-
Objective: התלמידים ילמדו כיצד להתחבר לשרתי קבצים וליצור נתיבי התחברות תקינים (SMB) מול סביבות עבודה מגוונות דרך הממשק הגרפי.
-
Discussion - Script:
- הקדמה על תקשורת ברשת:
- שרתי קבצים ארגוניים לרוב מבוססים על Windows.
- המק מתקשר איתם בצורה שקופה לחלוטין.
- פרוטוקול SMB במק:
- זהו הפרוטוקול העיקרי והמובנה במערכת.
- מגשר על פערים של פורמט הדיסק (למשל, השרת יכול להיות מפורמט כ-NTFS או ZFS).
- אנקדוטה: בעבר אפל השתמשה בפרוטוקול AFP משלה (שהתחיל ב-1988), אבל כיום SMB של מיקרוסופט (במקור של IBM) נחשב לסטנדרט הבלעדי גם אצל מקיסטים (גם אם הוא לא יודע לכווץ קבצי Sparse של APFS כמו שצריך).
-
התחברות לשרת:
- שימוש בחלון Connect to Server ב-Finder.
- תחביר חובה: מתחיל ב-
smb://(ולא בלוכסנים הפוכים כמו ב-Windows). - משתמש המוגדר כ-'Sharing Only' יכול לגשת לשרת מרחוק גם בלי תיקיית בית.
-
Demonstration:
- מעבר ל-Finder (לחיצה על שולחן העבודה).
- פתיחת חלון התחברות: בתפריט העליון לחצו Go > Connect to Server (או
⌘+K). - הקלדת נתיב לדוגמה: למשל
smb://10.0.0.5/Public. - הצגת חלון הזדהות (שם משתמש וסיסמה).
- איתור השרת המחובר:
- מופיע תחת Locations בסרגל הצד של the Finder.
- מופיע כאייקון על שולחן העבודה (אם מוגדר ב-General Settings).
-
שמירת סיסמה ב-Keychain לחיבור אוטומטי עתידי.
-
Instructor Deep-Dive:
הרחבה טכנית למנחה: SMB ב-macOS
- מנוע ה-SMB במק (`SMBx`): - אימפלמנטציה קניינית של אפל (החל מ-OS X Mavericks). - פותח במטרה להחליף את Samba מסיבות רישוי. - גרסאות הנתמכות בחיבור: - המערכת מנסה להתחבר תחילה ב-SMB 3 (כולל תמיכה בהצפנה). - יורדת ל-SMB 2 במקרה הצורך. - פרוטוקול SMB 1 מושבת מטעמי אבטחה. - קונפיגורציה קשיחה (nsmb.conf): - מאפשר ביטול Packet Signing לשיפור ביצועים מול שרתים מסוימים. - ממוקם תחת `~/Library/Preferences/nsmb.conf` (ברמת המשתמש) או `/etc/nsmb.conf` (ברמת המערכת). - פקודות דיאגנוסטיקה בטרמינל: - `smbutil statshares -a`: בודק גרסת חיבור וסטטוס תמיכה בתכונות מתקדמות. - `mount_smbfs`: פקודה להתחברות ידנית בשורת הפקודה.2. שיתוף מקומי: Screen Sharing, AirDrop ו-Universal Control¶
-
Objective: הכרת ושליטה בדרכים המובנות והמהירות של macOS לשתף תוכן ומשאבים בין מכשירים של אפל בסביבה המקומית, תוך שימוש בממשק המשתמש (System Settings).
-
Discussion - Script:
- שיתוף מקומי באקוסיסטם של אפל:
- התממשקות קלה ומהירה למכשירים סמוכים באותה הרשת.
- אנקדוטה היסטורית: בשנות ה-90 (מערכת System 7), גילוי שרתים ומדפסות ברשת מקומית נעשה ידנית לחלוטין דרך כלי היסטורי שנקרא "Chooser". היום AirDrop מזהה הכל אוטומטית.
- העברת קבצים עם AirDrop:
- כלי אלחוטי מובנה, נוח ומהיר מאוד.
- קבצים נכנסים אוטומטית ל"הסגר" (Quarantine) עד לבדיקה של מנגנון XProtect.
- שליטה מרחוק (Screen Sharing):
- פתרון VNC המוטמע ישירות במערכת.
- מאפשר גישה מהירה למסך של מחשב אחר ברשת.
- כלי חובה לצוותי Helpdesk (מנוהל תחת הגדרות Sharing).
-
תכונת ה-Universal Control:
- עבודה חלקה בין כמה מכשירי אפל קרובים.
- שימוש במקלדת ועכבר אחד על פני מספר מסכים.
- מצריך חיבור לאותו Apple ID, ללא כבלים וללא הגדרות מסובכות.
-
Demonstration:
- שיתוף מסך (Screen Sharing):
- נווטו אל System Settings > General > Sharing והפעילו את שיתוף המסך.
- לחצו על
(i)כדי להגביל לאילו משתמשים יש גישה. - פתחו את אפליקציית
Screen Sharing(דרך Spotlight). - הדגימו התחברות לכתובת IP או שם Bonjour.
- העברת קבצים (AirDrop):
- פתחו חלון Finder חדש ולחצו על AirDrop בסרגל הצד.
- הציגו את אפשרויות הגילוי: "Contacts Only" מול "Everyone for 10 minutes".
- שלחו קובץ אל המק שמריץ את ההדגמה להמחשה.
-
עבודה רציפה (Universal Control):
- נווטו אל System Settings > Displays > Advanced.
- הראו את הגדרות ה-Universal Control.
- המחשה חיה: העבירו את העכבר מחוץ לגבולות המסך למכשיר סמוך (אם קיים).
-
Instructor Deep-Dive:
הרחבה טכנית למנחה: פרוטוקולי שיתוף מקומי
- אופן הפעולה של AirDrop: - זיהוי ולחיצת יד מתבצעים דרך Bluetooth LE. - העברת הנתונים מתבצעת על רשת Wi-Fi Direct מהירה. - נדרש להשאיר גם Wi-Fi וגם Bluetooth דלוקים. - ארגונים רבים חוסמים AirDrop דרך MDM למניעת זליגת מידע (DLP). - מנגנון שיתוף המסך (VNC): - עובד על פורט ה-VNC הסטנדרטי (5900). - איתור שירותים בטרמינל מתבצע על ידי: `dns-sd -B _rfb._tcp`. - פקודת Kickstart: להפעלה מרחוק נסתרת על ידי אדמינים: - `/System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart` - מערכת בידוד הקבצים (Quarantine Flag): - קבצים נכנסים מסומנים בדגל `com.apple.quarantine`. - Gatekeeper קורא את הדגל להפעלת סריקת Malware לפני אישור פתיחה.3. שכפול מהיר: Mac Sharing Mode להעברת מידע כבל-לכבל¶
-
Objective: התלמידים ילמדו להשתמש במצב שיתוף מק (Mac Sharing Mode) מתוך סביבת ה-Recovery כדי לגשת ישירות לכונן של מק תקול או לצורך העברת נתונים מאסיבית.
-
Discussion - Script:
- תרחיש חילוץ נתונים קלאסי (מק לא עולה):
- המערכת קרסה אך המשתמש זקוק בדחיפות לקבצים שלו.
- במחשבי Apple Silicon הדיסקים מולחמים ללוח ולא ניתנים לשליפה.
- הפתרון: Mac Sharing Mode (יורשו של Target Disk Mode):
- חיבור המק התקול למק תקין בעזרת כבל USB-C או Thunderbolt.
- הפעלת המק התקול ב-Recovery Mode.
- הפעלת 'Share Disk' מתוך תפריט Utilities.
- הידעתם? במשך עשור שלם ל-Mac OS X כלל לא הייתה מחיצת התאוששות (Recovery)! היא הופיעה לראשונה רק ב-2011, וכיום ב-Apple Silicon סביבת ה-1TR היא הבסיס לכל תכונת ה-Share Disk.
- איך המערכת מזהה את החיבור:
- המק התקול יופיע תחת "Network" ב-Finder של המק המארח.
- מתנהג בדיוק כמו כונן רשת מקומי מהיר במיוחד.
-
דרישות אבטחה:
- חובה להזין את סיסמת המשתמש המקומי לצורך פענוח דיסק ה-FileVault.
-
Demonstration:
- שיתוף קבצים רגיל במערכת דלוקה:
- נווטו אל System Settings > General > Sharing.
- הראו את מתג ה-File Sharing לשיתוף ב-SMB מתוך המערכת עצמה.
- לחצו על
(i)להוספת ובחירת התיקיות המשותפות.
- הדגמת Mac Sharing Mode (הסבר למקרה של מחשב תקול):
- דורש כיבוי מוחלט של המק.
- כניסה ל-Recovery Mode (לחיצה ארוכה על כפתור ההפעלה ב-Apple Silicon).
- הפעלת כלי Share Disk מסרגל Utilities.
-
חיבור ושליפת נתונים במק המארח:
- מופיע בסרגל ה-Finder תחת "Network" (או בעזרת
Shift+Cmd+K). - יש ללחוץ על Connect As.
- הקלדת שם המשתמש והסיסמה של המק התקול לפענוח ה-Volume.
- מופיע בסרגל ה-Finder תחת "Network" (או בעזרת
-
Instructor Deep-Dive:
הרחבה טכנית למנחה: Target Disk מול Mac Sharing
- שינוי ארכיטקטורה מהותי: - במחשבי אינטל (Target Disk): הדיסק נחשף ל-Mac המארח ישירות כ-Block Device. - ב-Apple Silicon: ארכיטקטורת ה-Secure Enclave חוסמת גישה ישירה לדיסק. - מנגנון פעולה פנימי: - המק התקול מריץ מערכת הפעלה מינימלית בסביבת ה-Recovery. - מערכת זו משחררת את הדיסק ומשתפת אותו כשרת SMB. - התעבורה מנוהלת דרך רשת TCP/IP וירטואלית מעל כבל החיבור. - היבטי אבטחה והצפנה (FileVault): - לא מספיק רק לחבר את הכבל הפיזי. - חובה להזין בפועל את סיסמת המשתמש הקריפטוגרפית כדי לבצע Unlock מלא.4. תיבול ארגוני: התממשקות ל-Single Sign-On (כמו סיומת Kerberos SSO) בארגון לחיבור שקוף לכונני רשת¶
-
Objective: הבנת הערך המוסף של טכנולוגיות Single Sign-On (SSO) בסביבת Enterprise, ואופן היישום של הרחבת Kerberos ליצירת חווית חיבור שקופה ואוטומטית לשרתי רשת פנימיים דרך ממשק המשתמש.
-
Discussion - Script:
- אתגרי הזדהות בסביבה ארגונית גדולה:
- ריבוי סיסמאות מתיש את המשתמשים (VPN, רשת, SMB, פורטלים).
- מייצר עומס אדיר של קריאות תמיכה עקב "נעילת משתמש" ושכחת סיסמאות.
- המעבר ל-SSO (Single Sign-On Extensions):
- בעבר התבצע חיבור ישיר ל-AD (AD Binding) - כיום זו שיעורטיקה גרועה הגורמת לתקלות סנכרון.
- הגישה המודרנית: השארת המק כישות עצמאית ודחיפת פרופילי SSO דרך MDM.
- עבודה עם Kerberos SSO Extension:
- הרחבה מובנית וקלה של אפל.
- מזהה תקשורת לרשת הארגונית ברגע שמתבצע חיבור VPN.
- מושך Token קריפטוגרפי (Ticket) משרת ה-Active Directory מאחורי הקלעים.
-
החוויה למשתמש קצה:
- כניסה אוטומטית שקופה ומאובטחת לתיקיות SMB ארגוניות.
- אין צורך להקליד שוב סיסמה מול כל משאב רשתי.
-
Demonstration:
- מיקום פרופיל ה-SSO (בהנחה שמותקן):
- נווטו אל System Settings > Profiles.
- הראו שפרופיל מסוג 'Extensible Single Sign-On' נדחף שקוף למשתמש דרך ה-MDM.
-
התוסף בשורת התפריטים:
- הראו את סמל המפתח (Key) השחור בשורת התפריטים העליונה.
- הדגימו איך משתמש יכול ללחוץ עליו ולשנות סיסמה ארגונית בקלות ובמהירות.
-
Instructor Deep-Dive: