Odpowiedź Matta na przechowywanie poświadczeń jest najbardziej elegancka dla współczesnego komputera z systemem Windows. Chociaż nie podano inaczej, używane miejsce przechowywania poświadczeń powinno być dla konta usługi. Ma to na celu zarówno zapewnienie dostępności usługi, jak i uniemożliwienie innym użytkownikom, którym nie chcesz uzyskać dostępu do tego udziału (np. Pamiętaj o usunięciu danych logowania błędnie dodanych na niewłaściwym koncie).
Ale jeśli jest to starszy system Windows lub Linux, może być konieczne nieco szersze.
Komputer spoza domeny tak naprawdę nie powinien przejmować się systemem plików DFS, do którego nie subskrybuje ani nie uczestniczy bezpośrednio. Musi tylko zobaczyć ścieżkę udziału (tj. Serwer / nazwa udziału). Nazwy udziału usuwają wszystkie uwagi dotyczące ścieżki do serwera plików hosta.
Szczerze mówiąc, istnieją bezpieczniejsze sposoby logowania do udziałów niż UNC URI. UNC i URI same w sobie są protokołem komunikacji tekstowej.
Jeśli jest to akceptowalne bezpieczeństwo ... dlaczego nie po prostu mieć otwartego udziału bez żadnego użytkownika ani hasła?
Najprostszym natychmiastowym rozwiązaniem byłoby nadanie poświadczeniom usługi bezpośredniego dostępu do logowania do udziału (np. Dopasowanie użytkownika / hasła). Długoterminowe, że nie tak oczywiste dopasowanie może utrudnić zapamiętywanie aktualizacji uprawnień, gdy tylko sytuacja się zmieni. Jest to także obszar, w którym stwardnienie rozsiane może zmienić sposób, w jaki zabezpieczenia przechodzą ponownie poświadczenia i psują rzeczy.
W dłuższej perspektywie najlepszą prostą rzeczą jest prawdopodobnie trwałe odwzorowanie litery dysku lokalnego na udział sieciowy. Chroń zmapowany dysk za pomocą uprawnień tylko do obsługi (i odpowiednich administratorów itp.), A nazwa udziału może być ukryta za pomocą wiodących &.
Ale DFS daje wskazówkę do bardziej eleganckiego rozwiązania. Linux wymaga najpierw zamontowania udziałów sieciowych ... zwykle jako katalogu w głównym systemie plików w sposób bardzo podobny do DFS. Polecenie montowania w systemie Linux umożliwia określenie pliku poświadczeń dla nazwy użytkownika i hasła, dzięki czemu są łatwiejsze do aktualizacji i bezpieczniejsze niż skrypt wiersza poleceń lub fstab (tj. Tabela systemu plików). Jestem pewien, że powłoki poleceń systemu Windows i DFS mogą zrobić to samo (dawno temu). Byłby to po prostu inny system DFS, prywatny niż komputer docelowy, obejmujący zamontowane udziały sieciowe przy użyciu zapisanych danych uwierzytelniających przekazywanych przez SMB i usługi logowania, a nie kodowanych na stałe w skrypcie i wysyłanych jako czysty tekst UNC.
Zastanów się również, czy ten komputer bezdomenowy pozostanie komputerem na dłuższy czas niż domena. Serwery logowania Kerberos w domenach * NIX można łączyć z domenami Windows AD. Prawdopodobnie to, co chcesz zrobić dla każdego poważnego długoterminowego projektu z udziałem więcej niż kilku osób. Z drugiej strony jest to prawdopodobnie przesada w większości sytuacji w sieci domowej. Chociaż jeśli używasz DFS z jakiegokolwiek dobrego powodu innego niż hobbysta, samozważysz, prawdopodobnie najlepiej.