BYOD (mengakses file) di domain tanpa bergabung?

5

Saya menjalankan contoh Samba 4 di sebuah sekolah swasta kecil. Ini membuat server Linux biasa muncul sebagai pengontrol direktori. Ada dua manfaat yang relevan untuk ini:

  1. Saya memiliki saham Samba untuk dokumen orang, dan saya menggunakan fitur Folder Redirected untuk memungkinkan karyawan duduk di PC apa pun, masuk dengan kredensial domain mereka, dan Dokumen Saya menunjukkan penyimpanan jaringan.
  2. Setiap orang memiliki drive yang dipetakan (menggunakan Preferensi Kebijakan Grup) untuk berbagi khusus untuk jenis akun mereka. Siswa dapat mengakses satu bagian (satu bagian untuk semua siswa), guru memiliki yang lain, dan staf kantor memiliki yang lain.

Namun, saya ingin mengizinkan BYOD (Bawa Perangkat Anda Sendiri). Beberapa karyawan sudah memintanya dengan laptop pribadi mereka, dan saya tahu pada akhirnya kebanyakan orang akan menginginkannya.

Apakah ada cara untuk meniru dua fitur di atas tanpa harus bergabung dengan PC ke domain? Bergabung dengan PC pribadi tidak praktis jika hanya karena hanya edisi Windows profesional yang mendukung ini.

Idealnya, sistem operasi apa pun (termasuk ponsel) dapat mengakses saham yang relevan, tetapi tentu saja Windows adalah kuncinya. Caching offline adalah opsional. (Saya dapat mengatur OpenVPN untuk guru yang ingin mengakses file mereka dari rumah.)

Masalah dengan hanya memberikan akses SSH ke saham yang relevan adalah bahwa Samba 4 bergantung pada ext4 ACL dan atribut ext4 yang diperluas untuk mempertahankan izin NTFS. Menulis file langsung ke server Linux akan mem-bypass ini dan (mungkin) tidak akan bisa dioperasikan dengan Samba4.

Saat ini saya sangat fleksibel. Saya bahkan baik-baik saja dengan menghapus seluruh domain dan menggunakan beberapa perangkat lunak lain untuk dua fitur di atas.

Bagaimana saya bisa mengizinkan kebebasan karyawan dan siswa sekolah untuk berbagi file secara aman tanpa mengharuskan semua orang memiliki edisi Windows yang spesifik?

Philip
sumber
1
Anda harus dapat mengakses saham menggunakan kredensial domain dari mesin yang tidak ada di domain, tapi saya tidak tahu cara apa pun untuk mendapatkan manfaat pengalihan otomatis atau drive yang dipetakan pada mesin non-domain.
davidcl
Terima kasih, @davidcl. Saya akan baik-baik saja dengan menggunakan alternatif teknologi Microsoft, seperti WebDrive dan ExpanDrive , tetapi sesuatu yang lebih cocok.
Philip

Jawaban:

2

Mengapa tidak mengambil rute lain. Mintalah mereka menggunakan VPN dari perangkat mereka sendiri. Cara yang tepat adalah mengizinkan mereka secara nirkabel di jaringan tamu dan meminta vpn untuk mengakses sumber yang relevan. Dengan ini, Anda dapat melindungi jaringan dari perangkat yang tidak dipercaya. Percayalah, hal terakhir yang ingin Anda lakukan adalah berkeliling dan mencari tahu siapa laptop yang menghasilkan traffic mencurigakan.

Setelah tersambung ke VPN, mereka dapat memetakan drive jaringan dengan kredensial direktori mereka.

Ceria, Dexter

Danie
sumber
tetapi bagaimana mereka akan mengotentikasi untuk mengakses drive jaringan? VPNing ke jaringan memberi mereka akses tingkat IP ke server, tetapi tidak integrasi dengan Active Directory.
Philip
Ok, sudahkah Anda mencoba melihat ini, OPENVPN AD AUTHENTICATION . Seperti yang saya pahami, setelah Anda masuk melalui VPN, Anda kemudian dapat mengakses drive yang dibagikan dengan kredensial cache Anda. Ingatlah jika pengguna menggunakan laptop pribadinya, ia harus masuk dengan kredensial AD-nya untuk mengakses pangsa jaringan. Windows kemudian melakukan cache, sampai kata sandinya berakhir saya pikir.
Danie