Lokale en SMB-opslag inrichten met EntraID-authenticatie

Als we gebruik maken van onze nieuwe implementatie van Entra ID-authenticatie, zullen lokale opslag en SMB-opslag iets anders moeten worden geconfigureerd, omdat er niet langer naar NTFS-machtigingen wordt verwezen.

Beveiligingsoverwegingen

Wanneer gebruik wordt gemaakt van onze Entra ID-authenticatie, zullen de NTFS-machtigingen van de lokale of SMB-shares een gebruikersaccount op naam of een “serviceaccount” gebruiken, en niet de NTFS-machtigingen van de ingelogde gebruiker. Voor alle duidelijkheid: dit geldt alleen voor onze Entra ID-authenticatiemethode en niet voor onze Active Directory-authenticatiemethode. Gebruikers-/groepsrechten worden afgehandeld binnen MyWorkDrive. Als gevolg van deze wijziging moeten voor de gewenste mappen specifieke machtigingen zijn geconfigureerd op de lokale/SMB zodat MyWorkDrive er toegang toe heeft.

Lokaal aandeel

Voor een lokale share op de MyWorkDrive-server zelf is de standaardconfiguratie het gebruik van de Local System-account. Het lokale systeem krijgt volledige controle over de map. Het is mogelijk om in plaats daarvan uw eigen gebruikersnaam en wachtwoord voor deze share op te geven. Bovendien is er een IIS-serviceaccount – WanPath.Storage.API – dat volledige controlerechten krijgt voor de opgegeven map. Het IIS-serviceaccount verzorgt het opslagproces en voert foutcontroles uit om er zeker van te zijn dat de verbinding geldig is.

Een lokale share wordt doorgaans gebruikt voor testen, of wanneer shares rechtstreeks op de MyWorkDrive-server zelf worden opgeslagen.

MKB-aandeel

Voor een SMB-share wordt tijdens de initiële configuratie een benoemde gebruiker met NFTS-rechten op de share (ook wel een “serviceaccount” genoemd) geconfigureerd in MyWorkDrive. Het serviceaccount moet zowel de volledige beveiligingsmachtiging hebben als de volledige machtiging voor delen. Gedetailleerde gebruikers- en groepsmachtigingen worden binnen MyWorkDrive geconfigureerd voor gebruikerstoegang/machtigingen voor gedeelde root- en clienttoegangscontrole.

SMB-shares worden doorgaans gebruikt als er gegevens zijn opgeslagen op een lokale bestandsserver op de MyWorkDrive-server die u beschikbaar wilt maken voor MyWorkDrive-gebruikers die zich alleen aanmelden met hun Entra ID-referenties, en er geen lokale Active Directory beschikbaar is.

Lokaal delen configureren

Er zijn twee mogelijkheden om een lokale share te configureren. Eén keer tijdens de installatie en één keer na de installatie.

Tijdens de installatie

Tijdens de installatie wordt u gevraagd of u een lokale share wilt configureren voor demodoeleinden. Als u het selectievakje ingeschakeld laat, wordt er een map gemaakt op C:\Demo en wordt deze geconfigureerd, waarbij zowel Local System als WanPath.Storage.API de juiste machtigingen krijgen. Die map wordt vervolgens gedeeld met alle gebruikers die de ingebouwde MyWorkDrive-groep “Alle Azure AD-leden” gebruiken, waardoor alle gebruikers met accounts in Entra ID toegang hebben tot deze share via MyWorkDrive.

Na installatie:

• navigeer naar het tabblad Integraties, scrol omlaag naar Opslagproviders en selecteer Instellingen toevoegen of Instellingen wijzigen onder Lokaal/SMB.

• Selecteer Provider toevoegen

 

• Kies een naam voor uw lokale share, voer het pad voor de lokale share in en kies ervoor om de lokale systeemmachtiging te gebruiken of om serviceaccountgegevens in te voeren en Opslaan te selecteren.

In onze voorbeelden ziet u een waarschuwingsbericht dat de verbinding niet geldig is. De instellingenpagina in Integraties test uw verbinding en bevestigt of deze geldig is of niet. Als u tijdens het instellen geen groen vinkje en bevestiging ziet, controleer dan uw instellingen.

Een SMB-share configureren

Met Entra ID-authenticatie hebben SMB-shares een serviceaccount nodig. Het serviceaccount moet zowel de volledige beveiligingsmachtiging hebben als de volledige machtiging voor delen. Gedetailleerde gebruikers- en groepsmachtigingen worden binnen MyWorkDrive geconfigureerd voor gebruikerstoegang/-machtigingen. SMB-shares worden toegevoegd nadat MyWorkDrive is geïnstalleerd/geconfigureerd. Er is geen installatieprompt tijdens het installatieproces.

Na installatie:

• Navigeer naar het tabblad Integraties, scrol omlaag naar Opslagproviders en selecteer Instellingen toevoegen of Instellingen wijzigen onder Lokaal/SMB.

 

• Selecteer Provider toevoegen

• Wijzig de radio-optie in SMB, voer een naam in voor de SMB-share-verbinding, voer het Share Path in, voer een serviceaccount in met volledige beheerrechten voor de share en selecteer Opslaan.

In ons voorbeeld ziet u een waarschuwingsbericht dat de verbinding niet geldig is. De instellingenpagina in Integraties test uw verbinding en bevestigt of deze geldig is of niet. Als u tijdens het instellen geen groen vinkje en bevestiging ziet, controleer dan uw instellingen.