Permitir acesso a arquivos da empresa pela Internet

Navegue suas respostas
2

A premissa

Recebi a tarefa de encontrar uma solução para o seguinte cenário:

  • nosso servidor de arquivos principal é uma máquina Linux.
  • na LAN, os usuários simplesmente acessam os arquivos usando o SMB.
  • cada usuário tem uma conta no servidor de arquivos e seus próprios direitos de acesso.
  • contas de usuário são simples contas de segurança passwd / group, não NIS / LDAP.

O problema

Queremos que os usuários (ou pelo menos alguns deles, digamos, se pertencerem a um grupo específico) tenham a capacidade de acessar os arquivos da Internet durante a viagem.

Idealmente

  • Eu gostaria de uma solução perfeita. Talvez algo que permita ao usuário acessar uma unidade mapeada seja o ideal.
  • Uma solução orientada para a web também é boa, mas deve apresentar arquivos de uma maneira que seja familiar aos usuários, por exemplo, de uma forma exploradora.
  • A segurança é obrigatória, e os usuários devem fazer login.
    A conexão com o servidor também deve ser criptografada.

Alguém tem algumas dicas para soluções puras?
Alguma experiência?

Editar
As máquinas clientes são apenas Windows.

    
por Renaud Bompuis 08.07.2009 / 04:27

8 respostas

6

O OpenVPN vai deixar você muito, muito feliz, eu acho. É muito fácil configurar com chaves estáticas para testar e brincar, e apenas um pouco mais difícil de configurar com certificados quando você está pronto para entrar em produção.

Você pode exigir logins nos clientes através do PAM do seu servidor (e, portanto, do seu arquivo / etc / passwd), além de chaves estáticas ou certificados, usando o script "auth-pam.pl" fornecido e o "auth -user-pass "directiva nas configurações do seu cliente.

A GUI do OpenVPN para Windows é muito boa, então se seus clientes tiverem máquinas com Windows, não será uma experiência baseada em linha de comando.

No geral, estou muito satisfeito com o OpenVPN.

  • link - Mini-HOWTO de chave estática. Não recomendado para segurança, mas uma ótima maneira de entender como o OpenVPN funciona antes de mergulhar em uma PKI simples.
  • link - Inclui algumas documentações sobre autenticação PAM. Comece com o PAM primeiro para começar, depois adicione-o.
por 08.07.2009 / 04:46
3

Você já considerou o WebDAV ? O IIS tem suporte junto com a autenticação NTLM, no lado do cliente, você pode usar as extensões Webfolders incorporadas no Explorer desde o XP.

    
por 08.07.2009 / 04:51
2

E quanto a sshfs ? Isso cuidaria dos requisitos para senhas & criptografia, bem como o acesso ao tipo de unidade mapeada.

Se os usuários já tiverem contas no servidor de arquivos, não será necessário muito trabalho para implementá-lo.

    
por 08.07.2009 / 04:38
2

Sua melhor opção é configurar uma solução VPN para seus clientes. Isso irá satisfazer todos os requisitos que você especificar. A conexão será criptografada, os clientes terão apenas que mapear uma unidade como se estivessem no escritório, eles ainda teriam acesso a todo o resto da sua rede como se estivessem no escritório. A única coisa que eles precisariam aprender é como fazer login na VPN, o que é trivial.

    
por 08.07.2009 / 04:39
1

O Xythos gerenciamento de documentos compartilhados é uma boa solução. Custo depende da configuração, tamanho da instalação, etc, mas é uma interface web com estrutura de pastas muito familiar para os usuários do Windows. Muitos recursos disponíveis.

    
por 08.07.2009 / 05:43
1

Para responder minha própria pergunta.

Além de criar uma VPN, a melhor solução que encontrei até agora foi usar o WinSCP como uma maneira segura de acesse o servidor de arquivos sem abrir toda a rede interna.

Configurado adequadamente, o WinSCP pode se parecer com o familiar Windows Explorer; torna-se fácil trabalhar em arquivos, mesmo permitindo clicar duas vezes para editar um arquivo (o arquivo é baixado para um diretório temporário local e, em seguida, enviado automaticamente quando você o salva ou fecha).

As principais questões são as seguintes:

  • Os padrões do WinSCP não são adequados para usuários gerais.
  • as shells padrão do servidor Linux para contas de usuário (como bash ou sh ) exporão o sistema de arquivos do servidor completo em vez de apenas os dados ou diretórios base.

Ambos são fáceis de corrigir:

  • A configuração do WinSCP é flexível e pode ser salva em um arquivo ini que pode ser facilmente implantado.
  • Os usuários de shell padrão que fazem login no servidor podem ser substituídos por MySecureShell que possui várias configurações para controlar a visibilidade de os arquivos acessíveis ao usuário.
por 08.06.2010 / 02:49
0

Você não disse quais sistemas operacionais os clientes têm. No caso de clientes Windows, pelo menos, você pode mapear uma letra de unidade para uma conexão FTP. Talvez similar possa ser feito com o Linux.

    
por 08.07.2009 / 04:31
0

Você pode instalar o PopTop no servidor e usar o software VPN (PPTP) interno do Windows.

    
por 08.06.2010 / 04:25

Tags

Alguém pode me dizer se isso é uma preocupação plausível com o apache? Qual é a diferença entre ping e tracert?