Condividi tramite

User Isolation userIsolation <FTP>

  • Articolo

Panoramica

L'elemento <userIsolation> viene usato per avviare o limitare i client FTP in sezioni specifiche di un sito FTP. A seconda delle opzioni specificate nell'elemento, gli amministratori del server possono impedire l'accesso <userIsolation> non autorizzato tra gli utenti in un ambiente server condiviso in cui un singolo sito FTP viene condiviso tra gli account utente di mutiple.

L'isolamento utente FTP è stato introdotto in IIS 6.0, ma è stato notevolmente aggiornato in FTP 7.0 e FTP 7.5. Tutte le funzionalità di isolamento utente FTP precedenti rimangono disponibili per la compatibilità con le versioni precedenti, ma le opzioni seguenti sono ora possibili per la modalità di isolamento dell'utente:

Mode Descrizione
nessuno Se si specifica questa modalità in FTP 7.0 e FTP 7.5, verrà configurato l'isolamento utente per avviare sempre un client FTP nella radice del sito FTP. Non è stato possibile in IIS 6.0. Nota: se hanno autorizzazioni sufficienti, qualsiasi utente FTP può potenzialmente accedere al contenuto di qualsiasi altro utente FTP all'interno di tale sito FTP.
StartInUsersDirectory In IIS 6.0, se esiste una directory con lo stesso nome di un account utente e l'isolamento utente è stato disabilitato, i client FTP iniziano nella directory per il nome utente. Ciò è ancora possibile in FTP 7.0 e FTP 7.5 specificando StartInUsersDirectory per la modalità. Nota: se hanno autorizzazioni sufficienti, qualsiasi utente FTP può potenzialmente accedere al contenuto di qualsiasi altro utente FTP all'interno di tale sito FTP.
IsolateRootDirectoryOnly In IIS 6.0 è stato possibile usare le directory virtuali globali se è stato abilitato l'isolamento utente e le directory fisiche per gli utenti devono iniziare quando hanno eseguito la prima accesso al server. Se si vuole condividere il contenuto tra diversi utenti FTP, è possibile creare directory virtuali globali. Questa opzione è ancora disponibile in FTP 7.0 e FTP 7.5 specificando IsolateRootDirectoryOnly per la modalità.
IsolaAllDirectories Quando si specifica questa modalità in FTP 7.0 e FTP 7.5, i client FTP inizieranno in una directory che corrisponde al nome dell'account utente quando accedono per la prima volta al server. Usando questa modalità, è possibile usare le directory virtuali per ognuno di questi account; non è più necessario creare una directory fisica. Non è stato possibile in IIS 6.0. Tuttavia, se si usa questa opzione, non è più possibile usare le directory virtuali globali. Per condividere una cartella tra più utenti FTP, è necessario creare una directory virtuale nel percorso globale per ogni utente.
ActiveDirectory Quando si specifica questa modalità in FTP 7.0 e FTP 7.5, il servizio FTP recupera le impostazioni di isolamento utente dall'account di ogni utente nelle impostazioni di Active Directory; questa modalità funziona come IIS 6.0.
Personalizzato Con FTP 7.5, è ora possibile specificare Custom per la modalità di isolamento utente. Questa modalità consente di usare l'estendibilità FTP per fornire l'isolamento utente personalizzato creando un provider FTP personalizzato.

Quando si usano le modalità IsolateRootDirectoryOnly o IsolateAllDirectories per l'isolamento utente, i percorsi della directory fisica o virtuale devono usare la gerarchia seguente:

Tipi di account utente Sintassi home directory
Utenti anonimi %FtpRoot%\LocalUser\Public
Account utente windows locali (richiede l'autenticazione di base) %FtpRoot%\LocalUser\%UserName%
Account di dominio Windows (richiede l'autenticazione di base) %FtpRoot%\%UserDomain%\%UserName%
Gestione IIS o ASP.NET account utente di autenticazione personalizzati %FtpRoot%\LocalUser\%UserName%

Compatibilità

Versione Note
IIS 10.0 L'elemento <userIsolation> non è stato modificato in IIS 10.0.
IIS 8,5 L'elemento <userIsolation> non è stato modificato in IIS 8.5.
IIS 8,0 L'elemento <userIsolation> non è stato modificato in IIS 8.0.
IIS 7,5 L'elemento <userIsolation> dell'elemento <ftpServer> viene fornito come funzionalità di IIS 7.5.
IIS 7.0 L'elemento <userIsolation> dell'elemento <ftpServer> è stato introdotto in FTP 7.0, che è stato un download separato per IIS 7.0.
IIS 6.0 N/D

Nota

I servizi FTP 7.0 e FTP 7.5 sono stati forniti fuori banda per IIS 7.0, che hanno richiesto il download e l'installazione dei moduli dall'URL seguente:

https://www.iis.net/expand/FTP

Con Windows 7 e Windows Server 2008 R2, il servizio FTP 7.5 viene fornito come funzionalità per IIS 7.5, quindi il download del servizio FTP non è più necessario.

Configurazione

Per supportare la pubblicazione FTP per il server Web, è necessario installare il servizio FTP. A tale scopo, seguire questa procedura.

Windows Server 2012 o Windows Server 2012 R2

  1. Sulla barra delle applicazioni fare clic su Server Manager.

  2. In Server Manager fare clic sul menu Gestisci e quindi su Aggiungi ruoli e funzionalità.

  3. Nella procedura guidata Aggiungi ruoli e funzionalità fare clic su Avanti. Selezionare il tipo di installazione e fare clic su Avanti. Selezionare il server di destinazione e fare clic su Avanti.

  4. Nella pagina Ruoli server espandere Server Web (IIS) e quindi selezionare FTP Server.

    Nota

    Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di GESTIONE IIS per il servizio FTP, sarà necessario selezionare FTP Extensibility, oltre al servizio FTP.
    Screenshot del nodo Server Web I S e F P Server espanso con F T P Extensibility selezionato. .

  5. Fare clic su Avanti e quindi nella pagina Seleziona funzionalità fare di nuovo clic su Avanti .

  6. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.

  7. Nella pagina Risultati fare clic su Chiudi.

Windows 8 o Windows 8.1

  1. Nella schermata Start spostare il puntatore nell'angolo inferiore sinistro, fare clic con il pulsante destro del mouse sul pulsante Start e quindi fare clic su Pannello di controllo.

  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva le funzionalità di Windows.

  3. Espandere Internet Information Services e quindi selezionare SERVER FTP.

    Nota

    Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di GESTIONE IIS per il servizio FTP, sarà anche necessario selezionare FTP Extensibility.
    Screenshot del nodo Internet Information Services e F T P Server espanso che mostra F T T Extensibility selezionato.

  4. Fare clic su OK.

  5. Fare clic su Close.

Windows Server 2008 R2

  1. Nella barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Server Manager.

  2. Nel riquadro della gerarchia di Server Manager espandere Ruoli e quindi fare clic su Server Web (IIS).

  3. Nel riquadro Server Web (IIS) scorrere fino alla sezione Servizi ruolo e quindi fare clic su Aggiungi servizi ruolo.

  4. Nella pagina Seleziona servizi ruolo della Procedura guidata Aggiungi servizi ruolo espandere SERVER FTP.

  5. Selezionare Servizio FTP.

    Nota

    Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di GESTIONE IIS per il servizio FTP, sarà anche necessario selezionare FTP Extensibility.
    Screenshot della pagina Seleziona servizi ruolo che visualizza il riquadro F T P Server espanso e F T P Service selezionato.

  6. Fare clic su Avanti.

  7. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.

  8. Nella pagina Risultati fare clic su Chiudi.

Windows 7

  1. Nella barra delle applicazioni fare clic su Start e quindi fare clic su Pannello di controllo.

  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.

  3. Espandere Internet Information Services e quindi FTP Server.

  4. Selezionare Servizio FTP.

    Nota

    Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di GESTIONE IIS per il servizio FTP, sarà anche necessario selezionare FTP Extensibility.
    Screenshot del nodo F P Server espanso che mostra F T P Service evidenziato.

  5. Fare clic su OK.

Windows Server 2008 o Windows Vista

  1. Scaricare il pacchetto di installazione dall'URL seguente:

  2. Seguire le istruzioni riportate nella procedura dettagliata seguente per installare il servizio FTP:

Procedure

Come isolare gli utenti nelle directory virtuali

  1. Aprire Gestione Internet Information Services (IIS):

    • Se si usa Windows Server 2012 o Windows Server 2012 R2:

      • Nella barra delle applicazioni fare clic su Server Manager, scegliere Strumenti e quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows 8 o Windows 8.1:

      • Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
      • Fare clic su Strumenti di amministrazione e quindi fare doppio clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Server 2008 o Windows Server 2008 R2:

      • Nella barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Vista o Windows 7:

      • Nella barra delle applicazioni fare clic su Start e quindi fare clic su Pannello di controllo.
      • Fare doppio clic su Strumenti di amministrazione e quindi fare doppio clic su Gestione Internet Information Services (IIS).

  2. Nel riquadro Connessioni espandere il nome del server, espandere il nodo Siti , quindi fare clic sul nome del sito.

  3. Nel riquadro Home del sito fare doppio clic su Isolamento utente FTP.
    Screenshot del riquadro Home che mostra la funzionalità Di isolamento utente F T P selezionata.

  4. Nella pagina Isolamento utenti FTP in Isolare gli utenti. Limitare gli utenti alla directory seguente: selezionare Directory nome utente (disabilitare le directory virtuali globali).
    Screenshot della pagina Di isolamento utente F T P che mostra Isolare gli utenti, Limitare gli utenti all'elenco di opzioni di directory seguente.

  5. Nel riquadro Azioni fare clic su Applica.

Come isolare gli utenti usando Active Directory

  1. Aprire Gestione Internet Information Services (IIS):

    • Se si usa Windows Server 2012 o Windows Server 2012 R2:

      • Nella barra delle applicazioni fare clic su Server Manager, scegliere Strumenti e quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows 8 o Windows 8.1:

      • Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
      • Fare clic su Strumenti di amministrazione e quindi fare doppio clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Server 2008 o Windows Server 2008 R2:

      • Nella barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Vista o Windows 7:

      • Nella barra delle applicazioni fare clic su Start e quindi fare clic su Pannello di controllo.
      • Fare doppio clic su Strumenti di amministrazione e quindi fare doppio clic su Gestione Internet Information Services (IIS).

  2. Nel riquadro Connessioni espandere il nome del server, espandere il nodo Siti e quindi fare clic sul nome del sito.

  3. Nel riquadro Home del sito fare doppio clic su Isolamento utente FTP.
    Screenshot che mostra il riquadro Home com di Contoso dot con F T P User Isolation evidenziato.

  4. Nella pagina Isolamento utenti FTP in Isolare gli utenti. Limitare gli utenti alla directory seguente: selezionare la home directory FTP configurata in Active Directory e quindi fare clic su Imposta.
    Screenshot che visualizza la pagina Di isolamento utente F T P con la home directory F T P configurata nell'opzione Active Directory selezionata.

  5. Nella finestra di dialogo Imposta credenziali immettere un nome utente e una password nelle caselle Nome utente e Password . Immettere di nuovo la password nella casella Conferma password e quindi fare clic su OK.

  6. Nel riquadro Azioni fare clic su Applica.

Per altre informazioni su come configurare Active Directory, vedere la sezione "Isolare gli utenti usando la modalità Active Directory" nell'argomento Hosting di più siti FTP con isolamento utente FTP (IIS 6.0).

Configurazione

L'elemento <userIsolation> è configurato a livello di sito.

Attributi

Attributo Descrizione
mode Attributo enumerazione facoltativo.

Specifica la modalità di isolamento dell'utente.
Nome Descrizione
StartInUsersDirectory Specifica che l'isolamento dell'utente non deve essere usato, ma avviare una sessione nella directory dell'utente se presente.

Il valore numerico è 0.
IsolateRootDirectoryOnly

Specifica che l'isolamento utente deve isolare solo la directory radice. Le directory home degli utenti devono essere directory fisiche e le directory virtuali globali possono comunque essere usate.

Il valore numerico è 1.

ActiveDirectory Isola gli utenti in base alle impostazioni di Active Directory.

Il valore numerico è 2.
IsolateAllDirectories

Specifica che l'isolamento utente deve isolare tutte le directory. Le directory home dell'utente possono essere directory fisiche o directory virtuali, ma le directory virtuali globali vengono ignorate; tutte le directory virtuali devono essere create in modo esplicito nel percorso home di ogni utente.

Il valore numerico è 3.

None Specifica che non deve essere usato alcun isolamento utente.

Il valore numerico è 4.
Custom Specifica che un provider FTP personalizzato implementerà l'isolamento utente.

Il valore numerico è 5.
Il valore predefinito è None.

Elementi figlio

Elemento Descrizione
activeDirectory Elemento facoltativo.

Specifica le credenziali di connessione e il timeout per la comunicazione con un server Active Directory.

Esempio di configurazione

Nell'esempio seguente viene visualizzato un <userIsolation> elemento per un sito FTP che configura il servizio FTP per l'uso di Active Directory per l'isolamento utente del sito e configura le credenziali per la connessione al server Active Directory.

<site name="ftp.example.com" id="5">
  <application path="/">
    <virtualDirectory path="/" physicalPath="c:\inetpub\www.example.com" />
  </application>
  <bindings>
    <binding protocol="ftp" bindingInformation="*:21:" />
  </bindings>
  <ftpServer>
    <userIsolation mode="ActiveDirectory">
      <activeDirectory adUserName="MyUser"
        adPassword="[enc:RsaProtectedConfigurationProvider:57686f6120447564652c2049495320526f636b73:enc]"
        adCacheRefresh="00:02:00" />
    </userIsolation>
    <security>
      <authentication>
        <basicAuthentication enabled="true" />
        <anonymousAuthentication enabled="false" />
      </authentication>
    </security>
  </ftpServer>
</site>

Codice di esempio

Gli esempi seguenti configurano l'isolamento utente di Active Directory per un sito FTP.

AppCmd.exe

appcmd.exe set config  -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.userIsolation.mode:"ActiveDirectory" /commit:apphost
appcmd.exe set config  -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.userIsolation.activeDirectory.adUserName:"MyUser" /[name='ftp.example.com'].ftpServer.userIsolation.activeDirectory.adPassword:"MyPassword" /[name='ftp.example.com'].ftpServer.userIsolation.activeDirectory.adCacheRefresh:"00:02:00" /commit:apphost

Nota

È necessario assicurarsi di impostare il parametro commit su apphost quando si usa AppCmd.exe per configurare queste impostazioni. Questa operazione esegue il commit delle impostazioni di configurazione nella sezione percorso appropriata nel file di ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample {

    private static void Main() {
        
        using(ServerManager serverManager = new ServerManager()) { 
            Configuration config = serverManager.GetApplicationHostConfiguration();
            
            ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
            
            ConfigurationElementCollection sitesCollection = sitesSection.GetCollection();
            
            ConfigurationElement siteElement = FindElement(sitesCollection, "site", "name", @"ftp.example.com");
            if (siteElement == null) throw new InvalidOperationException("Element not found!");

            ConfigurationElement ftpServerElement = siteElement.GetChildElement("ftpServer");
            
            ConfigurationElement userIsolationElement = ftpServerElement.GetChildElement("userIsolation");
            userIsolationElement["mode"] = @"ActiveDirectory";
            
            ConfigurationElement activeDirectoryElement = userIsolationElement.GetChildElement("activeDirectory");
            activeDirectoryElement["adUserName"] = @"MyUser";
            activeDirectoryElement["adPassword"] = @"MyPassword";
            activeDirectoryElement["adCacheRefresh"] = TimeSpan.Parse("00:02:00");
            
            serverManager.CommitChanges();
        }
    }
    
       private static ConfigurationElement FindElement(ConfigurationElementCollection collection, string elementTagName, params string[] keyValues)
   {
      foreach (ConfigurationElement element in collection)
      {
         if (String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase))
         {
            bool matches = true;
            for (int i = 0; i < keyValues.Length; i += 2)
            {
               object o = element.GetAttributeValue(keyValues[i]);
               string value = null;
               if (o != null)
               {
                  value = o.ToString();
               }
               if (!String.Equals(value, keyValues[i + 1], StringComparison.OrdinalIgnoreCase))
               {
                  matches = false;
                  break;
               }
            }
            if (matches)
            {
               return element;
            }
         }
      }
      return null;
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim sitesCollection As ConfigurationElementCollection = sitesSection.GetCollection

      Dim siteElement As ConfigurationElement = FindElement(sitesCollection, "site", "name", "ftp.example.com")
      If (siteElement Is Nothing) Then
         Throw New InvalidOperationException("Element not found!")
      End If

      Dim ftpServerElement As ConfigurationElement = siteElement.GetChildElement("ftpServer")

      Dim userIsolationElement As ConfigurationElement = ftpServerElement.GetChildElement("userIsolation")
      userIsolationElement("mode") = "ActiveDirectory"

      Dim activeDirectoryElement As ConfigurationElement = userIsolationElement.GetChildElement("activeDirectory")
      activeDirectoryElement("adUserName") = "MyUser"
      activeDirectoryElement("adPassword") = "MyPassword"
      activeDirectoryElement("adCacheRefresh") = TimeSpan.Parse("00:02:00")

      serverManager.CommitChanges()
   End Sub

   Private Function FindElement(ByVal collection As ConfigurationElementCollection, ByVal elementTagName As String, ByVal ParamArray keyValues() As String) As ConfigurationElement
      For Each element As ConfigurationElement In collection
         If String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase) Then
            Dim matches As Boolean = True
            Dim i As Integer
            For i = 0 To keyValues.Length - 1 Step 2
               Dim o As Object = element.GetAttributeValue(keyValues(i))
               Dim value As String = Nothing
               If (Not (o) Is Nothing) Then
                  value = o.ToString
               End If
               If Not String.Equals(value, keyValues((i + 1)), StringComparison.OrdinalIgnoreCase) Then
                  matches = False
                  Exit For
               End If
            Next
            If matches Then
               Return element
            End If
         End If
      Next
      Return Nothing
   End Function


End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var sitesCollection = sitesSection.Collection;
var siteElementPos = FindElement(sitesCollection, "site", ["name", "ftp.example.com"]);
if (siteElementPos == -1) throw "Element not found!";

var siteElement = sitesCollection.Item[siteElementPos]);
var ftpServerElement = siteElement.ChildElements.Item("ftpServer");
var userIsolationElement = ftpServerElement.ChildElements.Item("userIsolation");
userIsolationElement.Properties.Item("mode").Value = "ActiveDirectory";
var activeDirectoryElement = userIsolationElement.ChildElements.Item("activeDirectory");

activeDirectoryElement.Properties.Item("adUserName").Value = "MyUser";
activeDirectoryElement.Properties.Item("adPassword").Value = "MyPassword";
activeDirectoryElement.Properties.Item("adCacheRefresh").Value = "00:02:00";
adminManager.CommitChanges();

function FindElement(collection, elementTagName, valuesToMatch) {
   for (var i = 0; i < collection.Count; i++) {
      var element = collection.Item(i);
      if (element.Name == elementTagName) {
         var matches = true;
         for (var iVal = 0; iVal < valuesToMatch.length; iVal += 2) {
            var property = element.GetPropertyByName(valuesToMatch[iVal]);
            var value = property.Value;
            if (value != null) {
               value = value.toString();
            }
            if (value != valuesToMatch[iVal + 1]) {
               matches = false;
               break;
            }
         }
         if (matches) {
            return i;
         }
      }
   }
   return -1;
}

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set sitesCollection = sitesSection.Collection

siteElementPos = FindElement(sitesCollection, "site", Array("name", "ftp.example.com"))
If siteElementPos = -1 Then
   WScript.Echo "Element not found!"
   WScript.Quit
End If

Set siteElement = sitesCollection.Item(siteElementPos)
Set ftpServerElement = siteElement.ChildElements.Item("ftpServer")
Set userIsolationElement = ftpServerElement.ChildElements.Item("userIsolation")
userIsolationElement.Properties.Item("mode").Value = "ActiveDirectory"
Set activeDirectoryElement = userIsolationElement.ChildElements.Item("activeDirectory")

activeDirectoryElement.Properties.Item("adUserName").Value = "MyUser"
activeDirectoryElement.Properties.Item("adPassword").Value = "MyPassword"
activeDirectoryElement.Properties.Item("adCacheRefresh").Value = "00:02:00"

adminManager.CommitChanges()

Function FindElement(collection, elementTagName, valuesToMatch)
   For i = 0 To CInt(collection.Count) - 1
      Set element = collection.Item(i)
      If element.Name = elementTagName Then
         matches = True
         For iVal = 0 To UBound(valuesToMatch) Step 2
            Set property = element.GetPropertyByName(valuesToMatch(iVal))
            value = property.Value
            If Not IsNull(value) Then
               value = CStr(value)
            End If
            If Not value = CStr(valuesToMatch(iVal + 1)) Then
               matches = False
               Exit For
            End If
         Next
         If matches Then
            Exit For
         End If
      End If
   Next
   If matches Then
      FindElement = i
   Else
      FindElement = -1
   End If
End Function