A documentação do Servidor de arquivos de fantoches deve ser capaz de cobrir a maior parte do que você está pedindo. Em particular, consulte a seção de segurança .
Primeiro uma nota. Se você tiver autosign habilitado, praticamente qualquer segurança oferecida é discutível. Você deve verificar cada certificado. Como as configurações de segurança que você configura serão baseadas no hostname / certname ou em um regex, elas terão o autosign ativado significando que qualquer sistema não confiável pode solicitar um certificado para um nome que corresponda a um padrão que tenha acesso a arquivos secretos.
Por padrão, qualquer coisa nos plug-ins especiais e módulos de montagens do servidor de arquivos é avialable para qualquer cliente. Mas isso pode ser controlado até certo ponto através da configuração.
Você também pode configurar montagens personalizadas que apontam para locais específicos. Um exemplo é fornecido na documentação sobre como criar uma montagem [privada] para distribuição chaves SSH privadas. O nome do host é usado como parte do caminho de montagem, portanto, um determinado host pode ver somente os arquivos que pertencem a ele.