我遇到的情况是,一栋建筑内有三个子网。每个子网实际上都隔离了该组内的不同单元。在查看文件服务器的不同选项时,我试图研究是否可以设置一个文件服务器来支持所有三个子网。我不确定的是如何根据请求来自哪个子网来限制可以查看哪些目录,或者是否可能(不过,鉴于现在是 2013 年,我认为可能可以)。这是一个混合环境,最终用户使用 OSX 或 Windows 7,所有三个子网中的用户总数不到 250,平均每天 130。服务器没有既定的操作系统基准,但我正尝试在更换时间到来时尽可能多地迁移到 CentOS。
感谢您的帮助!
答案1
只需限制各个共享的源 IP。如果使用 CIFS 或 Samba,则类似:
hosts allow = 192.168.1.
但我不认为子网是一个合适的安全分隔符。什么阻止用户从不同的子网进行物理连接?
群组、用户或组织单位安全策略更有意义。
答案2
如果需要根据部门/需要了解情况在公司内部完全限制对文件共享的访问,那么子网限制将无法实现这一目标。即使您设置了某些东西来“限制”对基于子网的特定共享的访问,您也没有身份验证或授权机制来确定访问是否由该部门中应该访问文件共享的用户执行。有人只需在该子网中放置一台机器(工作机器或外部机器)并基本上不受限制地访问共享。
除了 Windows 文件共享之外,我对其他任何东西都没有经验,但既然您有 AD,我认为要走的路线是获取 Windows 文件服务器。然后,您可以根据用户和 AD 组成员身份锁定文件共享。即使某些用户在登录工作站时没有向 AD 进行身份验证,他们也应该在尝试访问文件共享时提示输入凭据,然后必须使用他们的 AD 凭据进行身份验证。