Назад | Перейти на главную страницу

Безопасно ли одновременное обслуживание одного каталога / файла двумя отдельными демонами самбы?

Ситуация такая:

Главный вопрос заключается в следующем: не возникнут ли конфликты (проблемы с блокировкой файлов и т. Д.) При одновременном доступе к файлам из внутренней и внешней сети (что вполне вероятно, поскольку эта настройка предназначена для совместной работы Adobe InDesign / InCopy)? Если да, что было бы лучше в этой ситуации? Другая альтернатива, о которой я думаю, - это сделать внутренний демон Samba доступным через интерфейс OpenVPN через переадресацию портов. Опять же, я не хочу, чтобы клиенты OpenVPN имели фактический полный доступ к сети компании, я просто хочу, чтобы общие ресурсы Samba работали через Интернет (чего требует запланированный рабочий процесс).

Если у кого-то есть опыт работы с подобной настройкой, я был бы очень благодарен, если бы вы поделились своими мыслями.

Изменить - пояснения: я использую OpenVPN с мостовой VPN (интерфейс с подключением), поскольку я понимаю, что это правильный выбор для Samba (будет ли он работать даже с маршрутизируемой VPN? Разве это не потребует сложной настройки пересылки / маршрутизации?) Однако, я не хотите связать VPN с интерфейсом физического сервера по трем причинам: Избегайте нарушения корпоративной сети при включении и выключении интерфейса; Избегайте предоставления внешним клиентам доступа ко всей внутренней сети; Как правило, избегайте запуска общедоступных служб на физическом компьютере.

В настоящее время планирую использовать вариант 1:

Итак, обновленный вопрос: будет ли вариант 3 менее безопасным, чем первые два? Если нет, я бы реализовал его, поскольку он кажется самым простым и надежным.

Извините, я не смог выразить это меньшим количеством слов :) Спасибо за чтение и ответы.

Я бы просто использовал брандмауэр для контроля доступа. Чтобы это работало, вам необходимо настроить OpenVPN для использования интерфейса tun и маршрутизации трафика через брандмауэр. Как только вы это сделаете, у вас будет несколько вариантов ограничения доступа. Вы можете назначить подрядчику статический IP-адрес с помощью client-config-dir директиву, а затем ограничьте доступ к этому IP-адресу. Если вы сохраняете статически назначаемые IP-адреса в блоке IP-адресов, которые можно описать с помощью CIDR, отличного от CIDR пользователей (сотрудников) OpenVPN DHCP, вы можете легко написать правила брандмауэра для каждого типа пользователей. Другой вариант, который я предпочитаю, так как, по моему мнению, проще управлять, - это установить 2 разных сервера OpenVPN на разных портах, используя разные подсети для клиентов, и использовать один для доступа сотрудников, а другой - для доступа подрядчика. Затем вы можете применить любые ограничения, которые хотите, к любой группе в зависимости от подсети, без необходимости иметь дело с отдельными IP-адресами.

Что касается SAMBA, вы можете просто полагаться на права доступа к файлам, чтобы ограничить то, что он видит. Но если вы не хотите или не можете предоставлять подрядчику все обычные акции, так как они могут раскрыть информацию, такую ​​как список клиентов / проектов, вы можете использовать invalid users = <username> опцион на акции, которые вы хотите, чтобы они не видели. И добавьте долю только для подрядчика, используя valid users = <username> директива. Другой вариант - использовать include = /somepath/%G.smb.conf или include = /somepath/%u.smb.conf директивы для каждой основной группы или для директив конфигурации пользователя.