Compartir a través de

Aislamiento de usuario FTP <userIsolation>

  • Artículo

Información general

El elemento <userIsolation> se usa para iniciar o restringir clientes FTP en secciones específicas de un sitio FTP. En función de las opciones especificadas en el elemento <userIsolation>, los administradores del servidor pueden impedir el acceso no autorizado entre los usuarios de un entorno de servidor compartido en el que se comparte un único sitio FTP entre cuentas de usuario de información mutua.

El aislamiento de usuario FTP se introdujo en IIS 6.0, pero se ha actualizado significativamente en FTP 7.0 y FTP 7.5. Todas las características anteriores de aislamiento de usuario FTP siguen estando disponibles para la compatibilidad con versiones anteriores, pero ahora son posibles las siguientes opciones para el modo de aislamiento de usuario:

Mode Descripción
None Al especificar este modo en FTP 7.0 y FTP 7.5, se configurará el aislamiento de usuario para iniciar siempre un cliente FTP en la raíz del sitio FTP. (Esto no era posible en IIS 6.0). Nota: Si tienen permisos suficientes, cualquier usuario FTP puede acceder potencialmente al contenido de cualquier otro usuario FTP dentro de ese sitio FTP.
StartInUsersDirectory En IIS 6.0, si existía un directorio con el mismo nombre que una cuenta de usuario y el aislamiento de usuario estaba deshabilitado, los clientes FTP empezarían en el directorio para el nombre de usuario. Esto sigue siendo posible en FTP 7.0 y FTP 7.5 especificando StartInUsersDirectory para el modo. Nota: Si tienen permisos suficientes, cualquier usuario FTP puede acceder potencialmente al contenido de cualquier otro usuario FTP dentro de ese sitio FTP.
IsolateRootDirectoryOnly En IIS 6.0, era posible usar directorios virtuales globales si ha habilitado el aislamiento de usuario y ha creado directorios físicos para que los usuarios inicien sesión en el servidor por primera vez. Si desea compartir contenido entre varios usuarios FTP, puede crear directorios virtuales globales. Esta opción sigue estando disponible en FTP 7.0 y FTP 7.5 especificando IsolateRootDirectoryOnly para el modo.
IsolateAllDirectories Al especificar este modo en FTP 7.0 y FTP 7.5, los clientes FTP se iniciarán en un directorio que coincida con el nombre de su cuenta de usuario cuando inicien sesión por primera vez en el servidor. Con este modo, puede usar directorios virtuales para cada una de estas cuentas; ya no es necesario crear un directorio físico. (Esto no era posible en IIS 6.0). Sin embargo, si usa esta opción, ya no puede usar directorios virtuales globales. Para compartir una carpeta entre varios usuarios FTP, debe crear un directorio virtual en la ruta de acceso global de cada usuario.
ActiveDirectory Al especificar este modo en FTP 7.0 y FTP 7.5, el servicio FTP recuperará la configuración de aislamiento de usuario de la cuenta de cada usuario en su configuración de Active Directory; este modo funciona igual que IIS 6.0.
Personalizado Con FTP 7.5, ahora puede especificar Personalizado para el modo de aislamiento de usuario. Este modo permite usar la extensibilidad de FTP para proporcionar aislamiento de usuario personalizado mediante la creación de un proveedor FTP personalizado.

Al usar los modos IsolateRootDirectoryOnly o IsolateAllDirectories para el aislamiento de usuario, las rutas de acceso de directorio físico o virtual deben usar la siguiente jerarquía:

Tipos de cuentas de usuario Sintaxis del directorio principal
Usuarios anónimos %FtpRoot%\LocalUser\Public
Cuentas de usuario locales de Windows (requiere autenticación básica) %FtpRoot%\LocalUser\%UserName%
Cuentas de dominio de Windows (requiere autenticación básica) %FtpRoot%\%UserDomain%\%UserName%
Cuentas de usuario de autenticación personalizadas de administrador de IIS o ASP.NET %FtpRoot%\LocalUser\%UserName%

Compatibilidad

Versión Notas
IIS 10.0 El elemento <userIsolation> no se modificó en IIS 10.0.
IIS 8.5 El elemento <userIsolation> no se modificó en IIS 8.5.
IIS 8.0 El elemento <userIsolation> no se modificó en IIS 8.0.
IIS 7.5 El elemento <userIsolation> del elemento <ftpServer> se incluye como una característica de IIS 7.5.
IIS 7.0 El elemento <userIsolation> del elemento <ftpServer> se introdujo en FTP 7.0, que era una descarga independiente para IIS 7.0.
IIS 6,0 N/D

Nota:

Los servicios FTP 7.0 y FTP 7.5 se enviaron fuera de banda para IIS 7.0, lo que requería descargar e instalar el servicio desde la siguiente dirección URL:

https://www.iis.net/expand/FTP

Con Windows 7 y Windows Server 2008 R2, el servicio FTP 7.5 se incluye como característica para IIS 7.5, por lo que la descarga del servicio FTP ya no es necesaria.

Configuración

Para admitir la publicación de FTP para el servidor web, debe instalar el servicio FTP. Para ello, siga estos pasos.

Windows Server 2012 o Windows Server 2012 R2

  1. En la barra de tareas, haga clic en Administrador del servidor.

  2. En Administrador del servidor, haga clic en el menú Administrar y, después, haga clic en Agregar roles y características.

  3. En el asistente para Agregar roles y características, haga clic en Siguiente. Seleccione el tipo de instalación y haga clic en Siguiente. Seleccione el servidor de destino y haga clic en Siguiente.

  4. En la página Roles de servidor, expanda Servidor web (IIS) y, después, seleccione Servidor FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP, además de Servicio FTP.
    Screenshot of Web Server I I S and F T P Server node expanded with F T P Extensibility selected..

  5. Haga clic en Siguiente y, después, en la página Seleccionar características, vuelva a hacer clic en Siguiente.

  6. En la página Confirmar selecciones de instalación, haga clic en Instalar.

  7. En la página Resultados , haga clic en Cerrar.

Windows 8 o Windows 8.1

  1. En la pantalla Inicio, mueva el puntero hasta la esquina inferior izquierda, haga clic con el botón derecho en el botón Inicio y, a continuación, haga clic en Panel de control.

  2. En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.

  3. Expanda Internet Information Services y, después, seleccione Servidor FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Screenshot of Internet Information Services and F T P Server node expanded showing F T P Extensibility selected.

  4. Haga clic en OK.

  5. Haga clic en Cerrar.

Windows Server 2008 R2

  1. En la barra de tareas, haga clic en Inicio, seleccione Herramientas administrativas y, luego, haga clic en Administrador del servidor.

  2. En el panel de jerarquía del Administrador del servidor, expanda Roles y, luego, haga clic en Servidor web (IIS).

  3. En el panel Servidor web (IIS), desplácese hasta la sección Servicios de rol y, luego, haga clic en Agregar servicios de rol.

  4. En la página Seleccionar servicios de rol del Asistente para agregar servicios de rol, expanda Servidor FTP.

  5. Seleccione Servicio FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Screenshot of Select Role Services page displaying F T P Server pane expanded and F T P Service selected.

  6. Haga clic en Next.

  7. En la página Confirmar selecciones de instalación, haz clic en Instalar.

  8. En la página Resultados , haga clic en Cerrar.

Windows 7

  1. En la barra de tareas, haga clic en Inicio y, luego, haga clic en Panel de control.

  2. En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.

  3. Expanda Internet Information Services y, luego, Servidor FTP.

  4. Seleccione Servicio FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Screenshot of F T P Server node expanded showing F T P Service highlighted.

  5. Haga clic en OK.

Windows Server 2008 o Windows Vista

  1. Descargue el paquete de instalación desde la siguiente dirección URL:

  2. Siga las instrucciones del siguiente tutorial para instalar el servicio FTP:

Procedimientos

Cómo aislar usuarios en directorios virtuales

  1. Abra el Administrador de Internet Information Services (IIS):

    • Si usa Windows Server 2012 o Windows Server 2012 R2:

      • En la barra de tareas, haga clic en Administrador del servidor, en Herramientas y, a continuación, en Administrador de Internet Information Services (IIS).

    • Si usa Windows 8 o Windows 8.1:

      • Mantenga presionada la tecla Windows, presione la letra X y haga clic en Panel de control.
      • En Panel de control, haga clic en Herramientas administrativas y, a continuación, haga doble clic en Administrador de Internet Information Services (IIS).

    • Si usa Windows Server 2008 o Windows Server 2008 R2:

      • En la barra de tareas, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).

    • Si usa Windows Vista o Windows 7:

      • En la barra de tareas, haga clic en Inicio y, luego, haga clic en Panel de control.
      • Haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Administrador de Internet Information Services (IIS).

  2. En el panel Conexiones, expanda el nombre del servidor, expanda el nodo Sitios, a continuación, haga clic en el nombre del sitio.

  3. En el panel Inicio del sitio, haga doble clic en Aislamiento de usuarios de FTP.
    Screenshot of Home pane displaying F T P User Isolation feature selected.

  4. En la página Aislamiento de usuarios de FTP, en Aislar usuarios. Restrinja los usuarios al directorio siguiente:, seleccione Directorio de nombres de usuario (deshabilitar directorios virtuales globales).
    Screenshot of F T P User Isolation page showing Isolate users, Restrict users to the following directory list of options.

  5. En el panel Acciones, haga clic en Aplicar.

Procedimiento para aislar usuarios mediante Active Directory

  1. Abra el Administrador de Internet Information Services (IIS):

    • Si usa Windows Server 2012 o Windows Server 2012 R2:

      • En la barra de tareas, haga clic en Administrador del servidor, en Herramientas y, a continuación, en Administrador de Internet Information Services (IIS).

    • Si usa Windows 8 o Windows 8.1:

      • Mantenga presionada la tecla Windows, presione la letra X y haga clic en Panel de control.
      • En Panel de control, haga clic en Herramientas administrativas y, a continuación, haga doble clic en Administrador de Internet Information Services (IIS).

    • Si usa Windows Server 2008 o Windows Server 2008 R2:

      • En la barra de tareas, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).

    • Si usa Windows Vista o Windows 7:

      • En la barra de tareas, haga clic en Inicio y, luego, haga clic en Panel de control.
      • Haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Administrador de Internet Information Services (IIS).

  2. En el panel Conexiones, expanda el nombre del servidor, expanda el nodo Sitios y, después, haga clic en el nombre del sitio.

  3. En el panel Inicio del sitio, haga doble clic en Aislamiento de usuarios de FTP.
    Screenshot shows Contoso dot com Home pane with F T P User Isolation highlighted.

  4. En la página Aislamiento de usuarios de FTP, en Aislar usuarios. Restringir usuarios al siguiente directorio:, seleccione Directorio principal de FTP configurado en Active Directory y, después, haga clic en Establecer.
    Screenshot displays F T P User Isolation page with F T P home directory configured in Active Directory option selected.

  5. En el cuadro de diálogo Establecer credenciales, escriba un nombre de usuario y una contraseña en los cuadros Nombre de usuario y Contraseña. Escriba la contraseña de nuevo en el cuadro Confirmar contraseña y después haga clic en Aceptar.

  6. En el panel Acciones, haga clic en Aplicar.

Para más información sobre cómo configurar Active Director, vea la sección "Aislamiento de usuarios mediante el modo de Active Directory" en el tema Hospedaje de varios sitios FTP con aislamiento de usuarios FTP (IIS 6.0).

Configuración

El elemento <userIsolation> se configura en el nivel de sitio.

Atributos

Atributo Descripción
mode Atributo enum opcional.

Especifica el modo de aislamiento de usuario.
Nombre Descripción
StartInUsersDirectory Especifica que no se debe usar el aislamiento de usuario, sino iniciar una sesión en el directorio del usuario si existe.

El valor numérico es 0.
IsolateRootDirectoryOnly

Especifica que el aislamiento de usuario solo debe aislar el directorio raíz. Los directorios principales de los usuarios deben ser directorios físicos y se pueden usar directorios virtuales globales.

El valor numérico es 1.

ActiveDirectory Aísla a los usuarios en función de la configuración de Active Directory.

El valor numérico es 2.
IsolateAllDirectories

Especifica que el aislamiento de usuario debe aislar todos los directorios. Los directorios principales del usuario pueden ser directorios físicos o directorios virtuales, pero se omiten los directorios virtuales globales; todos los directorios virtuales se deben crear explícitamente en la ruta de acceso principal de cada usuario.

El valor numérico es 3.

None Especifica que no se debe usar ningún aislamiento de usuario.

El valor numérico es 4.
Custom Especifica que un proveedor FTP personalizado implementará el aislamiento de usuario.

El valor numérico es 5.
El valor predeterminado es None.

Elementos secundarios

Elemento Descripción
activeDirectory Elemento opcional.

Especifica las credenciales de conexión y el tiempo de espera para comunicarse con un servidor de Active Directory.

Ejemplo de configuración

En el ejemplo siguiente se muestra un elemento <userIsolation> para un sitio FTP que configura el servicio FTP a fin de usar Active Directory para el aislamiento de usuarios de ese sitio y configura las credenciales de la conexión con el servidor de Active Directory.

<site name="ftp.example.com" id="5">
  <application path="/">
    <virtualDirectory path="/" physicalPath="c:\inetpub\www.example.com" />
  </application>
  <bindings>
    <binding protocol="ftp" bindingInformation="*:21:" />
  </bindings>
  <ftpServer>
    <userIsolation mode="ActiveDirectory">
      <activeDirectory adUserName="MyUser"
        adPassword="[enc:RsaProtectedConfigurationProvider:57686f6120447564652c2049495320526f636b73:enc]"
        adCacheRefresh="00:02:00" />
    </userIsolation>
    <security>
      <authentication>
        <basicAuthentication enabled="true" />
        <anonymousAuthentication enabled="false" />
      </authentication>
    </security>
  </ftpServer>
</site>

Código de ejemplo

En los ejemplos siguientes se configura el aislamiento de usuarios de Active Directory para un sitio FTP.

AppCmd.exe

appcmd.exe set config  -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.userIsolation.mode:"ActiveDirectory" /commit:apphost
appcmd.exe set config  -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.userIsolation.activeDirectory.adUserName:"MyUser" /[name='ftp.example.com'].ftpServer.userIsolation.activeDirectory.adPassword:"MyPassword" /[name='ftp.example.com'].ftpServer.userIsolation.activeDirectory.adCacheRefresh:"00:02:00" /commit:apphost

Nota:

Debe asegurarse de establecer el parámetro de confirmación en apphost cuando use AppCmd.exe para configurar estas opciones. Esto confirma los valores de configuración en la sección de ubicación adecuada del archivo ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample {

    private static void Main() {
        
        using(ServerManager serverManager = new ServerManager()) { 
            Configuration config = serverManager.GetApplicationHostConfiguration();
            
            ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
            
            ConfigurationElementCollection sitesCollection = sitesSection.GetCollection();
            
            ConfigurationElement siteElement = FindElement(sitesCollection, "site", "name", @"ftp.example.com");
            if (siteElement == null) throw new InvalidOperationException("Element not found!");

            ConfigurationElement ftpServerElement = siteElement.GetChildElement("ftpServer");
            
            ConfigurationElement userIsolationElement = ftpServerElement.GetChildElement("userIsolation");
            userIsolationElement["mode"] = @"ActiveDirectory";
            
            ConfigurationElement activeDirectoryElement = userIsolationElement.GetChildElement("activeDirectory");
            activeDirectoryElement["adUserName"] = @"MyUser";
            activeDirectoryElement["adPassword"] = @"MyPassword";
            activeDirectoryElement["adCacheRefresh"] = TimeSpan.Parse("00:02:00");
            
            serverManager.CommitChanges();
        }
    }
    
       private static ConfigurationElement FindElement(ConfigurationElementCollection collection, string elementTagName, params string[] keyValues)
   {
      foreach (ConfigurationElement element in collection)
      {
         if (String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase))
         {
            bool matches = true;
            for (int i = 0; i < keyValues.Length; i += 2)
            {
               object o = element.GetAttributeValue(keyValues[i]);
               string value = null;
               if (o != null)
               {
                  value = o.ToString();
               }
               if (!String.Equals(value, keyValues[i + 1], StringComparison.OrdinalIgnoreCase))
               {
                  matches = false;
                  break;
               }
            }
            if (matches)
            {
               return element;
            }
         }
      }
      return null;
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim sitesCollection As ConfigurationElementCollection = sitesSection.GetCollection

      Dim siteElement As ConfigurationElement = FindElement(sitesCollection, "site", "name", "ftp.example.com")
      If (siteElement Is Nothing) Then
         Throw New InvalidOperationException("Element not found!")
      End If

      Dim ftpServerElement As ConfigurationElement = siteElement.GetChildElement("ftpServer")

      Dim userIsolationElement As ConfigurationElement = ftpServerElement.GetChildElement("userIsolation")
      userIsolationElement("mode") = "ActiveDirectory"

      Dim activeDirectoryElement As ConfigurationElement = userIsolationElement.GetChildElement("activeDirectory")
      activeDirectoryElement("adUserName") = "MyUser"
      activeDirectoryElement("adPassword") = "MyPassword"
      activeDirectoryElement("adCacheRefresh") = TimeSpan.Parse("00:02:00")

      serverManager.CommitChanges()
   End Sub

   Private Function FindElement(ByVal collection As ConfigurationElementCollection, ByVal elementTagName As String, ByVal ParamArray keyValues() As String) As ConfigurationElement
      For Each element As ConfigurationElement In collection
         If String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase) Then
            Dim matches As Boolean = True
            Dim i As Integer
            For i = 0 To keyValues.Length - 1 Step 2
               Dim o As Object = element.GetAttributeValue(keyValues(i))
               Dim value As String = Nothing
               If (Not (o) Is Nothing) Then
                  value = o.ToString
               End If
               If Not String.Equals(value, keyValues((i + 1)), StringComparison.OrdinalIgnoreCase) Then
                  matches = False
                  Exit For
               End If
            Next
            If matches Then
               Return element
            End If
         End If
      Next
      Return Nothing
   End Function


End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var sitesCollection = sitesSection.Collection;
var siteElementPos = FindElement(sitesCollection, "site", ["name", "ftp.example.com"]);
if (siteElementPos == -1) throw "Element not found!";

var siteElement = sitesCollection.Item[siteElementPos]);
var ftpServerElement = siteElement.ChildElements.Item("ftpServer");
var userIsolationElement = ftpServerElement.ChildElements.Item("userIsolation");
userIsolationElement.Properties.Item("mode").Value = "ActiveDirectory";
var activeDirectoryElement = userIsolationElement.ChildElements.Item("activeDirectory");

activeDirectoryElement.Properties.Item("adUserName").Value = "MyUser";
activeDirectoryElement.Properties.Item("adPassword").Value = "MyPassword";
activeDirectoryElement.Properties.Item("adCacheRefresh").Value = "00:02:00";
adminManager.CommitChanges();

function FindElement(collection, elementTagName, valuesToMatch) {
   for (var i = 0; i < collection.Count; i++) {
      var element = collection.Item(i);
      if (element.Name == elementTagName) {
         var matches = true;
         for (var iVal = 0; iVal < valuesToMatch.length; iVal += 2) {
            var property = element.GetPropertyByName(valuesToMatch[iVal]);
            var value = property.Value;
            if (value != null) {
               value = value.toString();
            }
            if (value != valuesToMatch[iVal + 1]) {
               matches = false;
               break;
            }
         }
         if (matches) {
            return i;
         }
      }
   }
   return -1;
}

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set sitesCollection = sitesSection.Collection

siteElementPos = FindElement(sitesCollection, "site", Array("name", "ftp.example.com"))
If siteElementPos = -1 Then
   WScript.Echo "Element not found!"
   WScript.Quit
End If

Set siteElement = sitesCollection.Item(siteElementPos)
Set ftpServerElement = siteElement.ChildElements.Item("ftpServer")
Set userIsolationElement = ftpServerElement.ChildElements.Item("userIsolation")
userIsolationElement.Properties.Item("mode").Value = "ActiveDirectory"
Set activeDirectoryElement = userIsolationElement.ChildElements.Item("activeDirectory")

activeDirectoryElement.Properties.Item("adUserName").Value = "MyUser"
activeDirectoryElement.Properties.Item("adPassword").Value = "MyPassword"
activeDirectoryElement.Properties.Item("adCacheRefresh").Value = "00:02:00"

adminManager.CommitChanges()

Function FindElement(collection, elementTagName, valuesToMatch)
   For i = 0 To CInt(collection.Count) - 1
      Set element = collection.Item(i)
      If element.Name = elementTagName Then
         matches = True
         For iVal = 0 To UBound(valuesToMatch) Step 2
            Set property = element.GetPropertyByName(valuesToMatch(iVal))
            value = property.Value
            If Not IsNull(value) Then
               value = CStr(value)
            End If
            If Not value = CStr(valuesToMatch(iVal + 1)) Then
               matches = False
               Exit For
            End If
         Next
         If matches Then
            Exit For
         End If
      End If
   Next
   If matches Then
      FindElement = i
   Else
      FindElement = -1
   End If
End Function