Melhor executar um servidor de arquivos único para várias sub-redes ou servidor de arquivos de configuração em cada sub-rede?

1

Eu tenho uma situação em que há três sub-redes dentro de um prédio. Cada sub-rede essencialmente isola unidades separadas dentro desse grupo. Ao examinar diferentes opções para um servidor de arquivos, estou tentando pesquisar se é possível configurar um único servidor de arquivos para suportar todas as três sub-redes. O que eu não tenho certeza é como restringir quais diretórios podem ser visualizados com base em qual sub-rede a solicitação está vindo ou se é possível (embora, sendo 2013, eu espero que provavelmente possa). É um ambiente misto com usuários finais com OSX ou Windows 7 e o número total de usuários em todas as três sub-redes é menor que 250, com uma média de 130 em um determinado dia. Não há uma linha de base do sistema operacional estabelecida para os servidores, embora eu esteja tentando migrar o máximo possível para o CentOS à medida que o tempo de substituição chega.

Obrigado pela sua ajuda!

    
por Mountainerd 27.03.2013 / 13:57

2 respostas

1

Apenas restrinja os IPs de origem para os compartilhamentos individuais. Se estiver usando o CIFS ou o Samba, algo como:

hosts allow = 192.168.1.

Mas não acho que essa sub-rede seja um delimitador de segurança apropriado. O que impede os usuários de se conectarem fisicamente de uma sub-rede diferente?

Políticas de segurança para grupos, usuários ou unidades organizacionais fazem mais sentido.

    
por 27.03.2013 / 14:07
1

Se houver necessidade de restringir o acesso a compartilhamentos de arquivos na empresa com base no departamento / necessidade de conhecimento, a restrição de sub-rede não o fará. Mesmo que você configure algo que "restrinja" o acesso a um determinado compartilhamento baseado em sub-rede, você não possui mecanismos de autenticação ou autorização para determinar se o acesso está sendo realizado por um usuário daquele departamento que deveria estar acessando o compartilhamento de arquivos ou não . Alguém poderia simplesmente jogar uma máquina (uma máquina de trabalho ou uma máquina externa) naquela sub-rede e acessar a parte irrestrita essencialmente.

Eu não tenho experiência com nada além de compartilhamentos de arquivos do Windows, mas como você tem o AD, eu acho que o caminho a percorrer seria obter um servidor de arquivos do Windows. Você pode então bloquear os compartilhamentos de arquivos com base na associação do usuário e do grupo do AD. Embora alguns usuários não se autentiquem no AD quando fazem logon em suas estações de trabalho, eles devem receber uma solicitação de credenciais ao tentar acessar o compartilhamento de arquivos e, em seguida, devem autenticar usando suas credenciais do AD.

    
por 27.03.2013 / 14:45