У меня есть внешний NAS, к сожалению, изначально нет интеграции с активным каталогом, но мне нужно хранить там определенные файлы для целей резервного копирования и иметь к ним доступ в зависимости от авторизованного пользователя.
Как лучше всего это сделать? Можно ли установить символические ссылки на внешний источник с предоставленными учетными данными?
Моя идея состоит в том, чтобы иметь общую папку на сервере домена, а затем создавать символические ссылки на папки NAS, в зависимости от пользователя, будут отображаться только определенные папки.
например Пользователь является участником учетных записей, они будут видеть общие папки и папки учетных записей, другой пользователь является членом службы поддержки, они будут видеть общие папки и папки поддержки.
Какие-либо предложения?
Моя идея состоит в том, чтобы иметь общую папку на сервере домена, а затем создавать символические ссылки на папки NAS, в зависимости от пользователя, будут отображаться только определенные папки.
Это не сработает с сервером Windows, почти все службы Microsoft выполняют олицетворение (т.е. они передают заявку на аутентификацию, предоставленную клиентом, в пункт назначения). Однако вы могли бы запустить это с помощью хоста Samba - там вы можете настроить интеграцию с AD и просто использовать одну учетную запись прокси для доступа к NAS. Имейте в виду, что вы добавляете еще одну точку отказа, однако, возможно, вы сначала захотите изучить все другие варианты.
Можно ли установить символические ссылки на внешний источник с предоставленными учетными данными?
Нет. Вы можете попробовать использовать /SAVECRED параметр с начальным net use для каждого из ваших потенциальных пользователей NAS, но у этого есть обратная сторона - чрезмерная ручная работа (вам нужно будет вручную ввести имя пользователя и пароль в диалоговом окне безопасности, нет возможности создать сценарий). Кроме того, кажется, что клиенты иногда «забывают» сохраненную информацию аутентификации, что делает ее бесполезной в большинстве случаев, когда вы ожидаете надежного доступа.
Какие-либо предложения?
Клиенты Windows по умолчанию пробуют аутентификацию NTLMv2 на сервере. Это означает, что они отправят имя пользователя и ответ на запрос, искаженный хешем секретного пароля. Если вы создаете на своем NAS пользователей, имена которых соответствуют именам пользователей AD, и устанавливаете пароли на соответствующие пароли пользователей, вы должны иметь возможность получить доступ к NAS, не видя никаких диалоговых окон запроса аутентификации.
Конечно, это было бы кошмаром, если бы ваш список пользователей или их пароли быстро менялись, вам также необходимо знать пароли пользователей, что не всегда возможно. И опять же, может потребоваться много ручной работы, если у вас большое количество пользователей и вы не можете создать скрипт для создания пользователей на NAS.
Альтернативный подход может заключаться в создании нескольких пользователей на вашем NAS с известными паролями и использованием net use \\NAS\share /user:nasuser /password:<secret> вызывает сценарии входа в систему для пользователей домена, которым потребуется доступ к ресурсам NAS. Обратите внимание: поскольку пользователи вашего домена обычно имеют права на чтение для сценариев входа в систему, вы предоставляете им пароли NAS в виде обычного текста, используя этот подход.