Condividi tramite

Configurazione dell'isolamento utente FTP in IIS 7

  • Articolo

di Robert McMurray

Compatibilità

Versione Note
IIS 7,5 Il servizio FTP 7.5 viene fornito come funzionalità per IIS 7.5 in Windows 7 e Windows Server 2008 R2.
IIS 7.0 I servizi FTP 7.0 e FTP 7.5 sono stati spediti fuori banda per IIS 7.0, che richiedeva il download e l'installazione del servizio dall'URL seguente: . https://www.iis.net/downloads/microsoft/ftp

Introduzione

Microsoft ha creato un nuovo servizio FTP completamente riscritto per Windows Server 2008. Questo nuovo servizio FTP incorpora molte nuove funzionalità che consentono agli autori Web di pubblicare contenuto meglio di prima e offre agli amministratori Web più opzioni di sicurezza e distribuzione.

Questo documento illustra le varie impostazioni di isolamento utente FTP usando la nuova interfaccia utente FTP e modificando direttamente i file di configurazione di IIS.

Nota

Questa procedura dettagliata contiene una serie di passaggi in cui si accederà al sito FTP usando l'account amministratore locale. Questi passaggi devono essere seguiti solo nel server stesso usando l'indirizzo di loopback o tramite SSL da un server remoto. Se si preferisce usare un account utente separato anziché l'account amministratore, sarà necessario creare le cartelle appropriate e impostare le autorizzazioni corrette per tale account utente quando necessario.

Prerequisiti

Per completare le procedure descritte in questo articolo, sono necessari gli elementi seguenti:

  1. IIS 7 deve essere installato nel server Windows Server 2008 RC0 e Internet Information Services Manager deve essere installato.

  2. È necessario installare il nuovo servizio FTP. È possibile scaricare e installare il servizio FTP dal https://www.iis.net/ sito Web usando uno dei collegamenti seguenti:

    • FTP per IIS 7 (x64)
    • FTP per IIS 7 (x86)

  3. Sarà necessario creare una cartella radice per la pubblicazione FTP:

    • Creare una cartella in %SystemDrive%\inetpub\ftproot

    • Impostare le autorizzazioni per consentire l'accesso anonimo:

      • Aprire un prompt dei comandi.

      • Digitare il comando seguente:

        ICACLS "%SystemDrive%\inetpub\ftproot" /Grant IUSR:R /T

      • Chiudere il prompt dei comandi.

  4. Sarà necessario creare cartelle di contenuto aggiuntive:

    • Creare una cartella in %SystemDrive%\inetpub\ftproot\LocalUser\Public
    • Creare una cartella in %SystemDrive%\inetpub\adminfiles

Utilizzo della Creazione guidata sito FTP per creare un sito FTP

In questa prima sezione verrà creato un nuovo sito FTP che può essere aperto per l'accesso in sola lettura da parte di utenti anonimi e accesso in lettura/scrittura dall'account amministratore.

  1. In Gestione IIS fare clic sul nodo Siti nell'albero nel riquadro Connessioni.

  2. Come illustrato nell'immagine seguente, fare clic con il pulsante destro del mouse sul nodo Siti nell'albero e scegliere Aggiungi sito FTP oppure fare clic su Aggiungi sito FTP nel riquadro Azioni .
    Screenshot della schermata I S Manager con lo stato attivo sull'opzione Aggiungi sito F T P nel menu a discesa del pulsante destro del mouse sulla cartella Siti.

  3. Quando viene visualizzata la procedura guidata Aggiungi sito FTP :

    • Immettere "My New FTP Site" (Nuovo sito FTP) nella casella Nome sito FTP e quindi passare alla %SystemDrive%\inetpub\ftproot cartella creata nella sezione Prerequisiti. Si noti che se si sceglie di digitare il percorso della cartella del contenuto, è possibile usare le variabili di ambiente nei percorsi.
    • Dopo aver completato questi elementi, fare clic su Avanti.
      Screenshot della procedura guidata Aggiungi sito F T P, che mostra la sezione Informazioni sito.

  4. Nella pagina successiva della procedura guidata:

    • In genere si sceglie un indirizzo IP per il sito FTP dall'elenco a discesa Indirizzo IP oppure è possibile scegliere di accettare la selezione predefinita di "Tutti non assegnati". Poiché l'account amministratore verrà usato più avanti in questa procedura dettagliata, assicurarsi di limitare l'accesso al server e immettere l'indirizzo IP di loopback locale per il computer digitando "127.0.0.1" nella casella Indirizzo IP .
    • In genere si immette la porta TCP/IP per il sito FTP nella casella Porta . Per questa procedura dettagliata, si sceglierà di accettare la porta predefinita 21.
    • Per questa procedura dettagliata, non si userà un nome host, quindi assicurarsi che la casella Host virtuale sia vuota.
    • Assicurarsi che l'elenco a discesa Certificati sia impostato su "Non selezionato" e che sia selezionata l'opzione Consenti SSL .
    • Dopo aver completato questi elementi, fare clic su Avanti.
      Screenshot della sezione Binding e S L Settings della schermata Aggiungi sito F T P con lo stato attivo sull'opzione Avanti.

  5. Nella pagina successiva della procedura guidata:

    • Selezionare Anonimo per le impostazioni di autenticazione .
    • Per Le impostazioni di autorizzazione scegliere "Utenti anonimi" dall'elenco a discesa Consenti l'accesso e selezionare Lettura per l'opzione Autorizzazioni .
    • Al termine di questi elementi, fare clic su Fine.
      Screenshot della sezione Autenticazione e autorizzazione della schermata Aggiungi sito F T P con lo stato attivo sull'opzione Fine.

  6. In Gestione IIS fare clic sul nodo per il sito FTP creato; verranno visualizzate le icone per tutte le funzionalità FTP.
    Screenshot della schermata I S Manager che mostra la sezione Home del sito F T P che mostra le funzionalità F T P.

  7. È necessario aggiungere l'autenticazione di base in modo che gli utenti possano accedere. A tale scopo, fare doppio clic sull'icona Autenticazione FTP per aprire la pagina della funzionalità di autenticazione FTP.
    Screenshot della schermata I S Manager con lo stato attivo sull'opzione F T P Authentication (Autenticazione F T P) nella sezione Home del sito F T P.

  8. Quando viene visualizzata la pagina Autenticazione FTP , evidenziare Autenticazione di base e quindi fare clic su Abilita nel riquadro Azioni .
    Screenshot della sezione F T P Authentication della schermata I S Manager con lo stato attivo sull'opzione Abilita nel riquadro Azioni.

  9. In Gestione IIS fare clic sul nodo per il sito FTP per visualizzare nuovamente le icone per tutte le funzionalità FTP.

  10. È necessario aggiungere una regola di autorizzazione in modo che l'amministratore possa accedere. A tale scopo, fare doppio clic sull'icona Regole di autorizzazione FTP per aprire la pagina delle funzionalità regole di autorizzazione FTP.
    Screenshot dell'opzione F T P Authorization Rules della schermata I S Manager nella sezione F T P.

  11. Quando viene visualizzata la pagina Regole di autorizzazione FTP , fare clic su Aggiungi regola consenti nel riquadro Azioni .
    Screenshot della sezione F T P Authorization Rules della schermata I S Manager con lo stato attivo sull'opzione Aggiungi regola consenti nel riquadro Azioni.

  12. Quando viene visualizzata la finestra di dialogo Aggiungi regola di autorizzazione consentita :

    • Selezionare Utenti specificati, quindi digitare "administrator" nella casella.
    • Per Autorizzazioni selezionare sia Lettura che Scrittura.
    • Dopo aver completato questi elementi, fare clic su OK.
      Screenshot della finestra di dialogo Aggiungi regola di autorizzazione consentita.

Riepilogo

Per riepilogare gli elementi completati in questa sezione:

  1. È stato creato un nuovo sito FTP denominato "My New FTP Site", con la radice del contenuto del sito all'indirizzo %SystemDrive%\inetpub\ftproot.
  2. Il sito FTP è stato associato all'indirizzo di loopback locale per il computer sulla porta 21 e si è scelto di non usare Secure Sockets Layer (SSL) per il sito FTP.
  3. È stata creata una regola predefinita per il sito FTP per consentire agli utenti anonimi l'accesso "Lettura" ai file.
  4. È stata aggiunta una regola di autorizzazione che consente l'account amministratore sia le autorizzazioni "Lettura" che "Scrittura" per il sito FTP.
  5. È stata aggiunta l'autenticazione di base al sito FTP.

Esame delle nuove impostazioni di isolamento utente FTP

  1. In Gestione IIS fare clic sul nodo per il sito FTP creato; verranno visualizzate le icone per tutte le funzionalità FTP.

  2. Fare doppio clic sull'icona Ftp User Isolation (Isolamento utente FTP ) per aprire la funzionalità di isolamento utente FTP.
    Screenshot della sezione My New F T P Site Home della schermata I S Manager con lo stato attivo sull'opzione F T P User Isolation (Isolamento utente F T P).

  3. Quando viene visualizzata la pagina della funzionalità Isolamento utenti FTP , si noti che sono disponibili cinque opzioni diverse:
    Screenshot della pagina della funzionalità F T P User Isolation della schermata I S Manager.

  4. Queste cinque opzioni sono definite come:

    • Non isolare gli utenti. Avviare gli utenti in:

      • Directory radice FTP

        • Questa opzione specifica che tutte le sessioni FTP verranno avviate nella directory radice per il sito FTP.

          Nota

          Questa opzione è una novità di questo server FTP e disabilita semplicemente l'isolamento dell'utente o la logica della cartella iniziale.

      • Directory nome utente

        • Questa opzione specifica che tutte le sessioni FTP verranno avviate nella directory fisica o virtuale con lo stesso nome dell'utente attualmente connesso se la cartella esiste; in caso contrario, la sessione FTP verrà avviata nella directory radice per il sito FTP.

          Nota

          Questa opzione equivale a non scegliere l'isolamento utente nel server FTP IIS 6.0. Per altre informazioni sull'uso di questa opzione, vedere la sezione "Non isolare la modalità utenti" nell'argomento Hosting di più siti FTP con isolamento utente FTP (IIS 6.0).

    • Isolare gli utenti. Limitare gli utenti alla directory seguente:

      • Directory del nome utente (disabilitare le directory virtuali globali)

        • Questa opzione specifica che si desidera isolare le sessioni utente FTP nella directory fisica o virtuale con lo stesso nome dell'account utente FTP. L'utente visualizza solo il percorso radice FTP e, di conseguenza, non è in grado di spostarsi a un livello superiore nell'albero di directory fisiche o virtuali. Tutte le directory virtuali globali create verranno ignorate.

          Nota

          Questa opzione è una novità di questo server FTP.

      • Directory fisica del nome utente (abilitare le directory virtuali globali)

        • Questa opzione specifica che si desidera isolare le sessioni utente FTP nella directory fisica con lo stesso nome dell'account utente FTP. L'utente visualizza solo il percorso radice FTP e, di conseguenza, non è in grado di spostarsi a un livello superiore nell'albero di directory fisiche. Tutte le directory virtuali globali create verranno applicate a tutti gli utenti.

          Nota

          Questa opzione equivale a scegliere l'isolamento dell'utente nel server FTP IIS 6.0.

      • Home directory FTP configurata in Active Directory

        • Questa opzione specifica che si desidera isolare le sessioni utente FTP nella home directory configurata nelle impostazioni dell'account Active Directory per ogni utente FTP.

          Nota

          Questa opzione equivale a scegliere l'isolamento utente di Active Directory nel server FTP IIS 6.0.

Configurazione delle impostazioni di isolamento utente in base alle directory fisiche

Quando si isolano gli utenti solo da directory fisiche, tutte le sessioni utente FTP sono limitate alla directory fisica con lo stesso nome dell'account utente FTP. Tuttavia, tutte le directory virtuali globali create verranno applicate a tutti gli utenti.

  1. In Gestione IIS fare clic sul nodo per il sito FTP creato; verranno visualizzate le icone per tutte le funzionalità FTP.
  2. Fare doppio clic sull'icona Ftp User Isolation (Isolamento utente FTP ) per aprire la funzionalità di isolamento utente FTP.
    Screenshot della sezione Home del sito My New F T P Site della schermata I S Manager con l'icona F T P User Isolation evidenziata.
  3. Quando viene visualizzata la pagina della funzionalità Isolamento utenti FTP, selezionare l'opzione Directory fisica nome utente (abilita directory virtuali globali), quindi fare clic su Applica nel riquadro Azioni .
    Screenshot della sezione F T P User Isolation della schermata I S Manager con lo stato attivo sull'opzione Applica.

Accesso al sito FTP

È ora possibile accedere al sito FTP usando l'isolamento utente, ma si applicano le informazioni seguenti:

  1. Se si accede al sito FTP in modo anonimo, la sessione verrà limitata alla cartella "LocalUser\Public" creata nella sezione Prerequisiti.
  2. Se si tenta di accedere al sito FTP usando l'account amministratore, la richiesta di accesso verrà negata perché l'account amministratore non dispone di una home directory definita. Per consentire all'account amministratore di accedere, è necessario creare una home directory per l'account amministratore all'indirizzo %SystemDrive%\inetpub\ftproot\LocalUser\Administrator. Dopo di che, se è stato effettuato l'accesso al sito FTP usando l'account amministratore, la sessione verrà limitata alla cartella "LocalUser\Administrator" appena creata.

Riepilogo

Per riepilogare gli elementi completati in questo passaggio, è stato configurato l'isolamento utente FTP usando l'opzione User name physical directory (abilita directory virtuali globali). Quando si usa questa modalità di isolamento utente, tutte le sessioni utente FTP sono limitate alla directory fisica con lo stesso nome dell'account utente FTP e tutte le directory virtuali globali create verranno applicate a tutti gli utenti.

Per creare le home directory per ogni utente, è innanzitutto necessario creare una directory fisica nella cartella radice del server FTP denominata in base al dominio o denominata LocalUser per gli account utente locali. Successivamente, è necessario creare una directory fisica per ogni account utente che accederà al sito FTP. La tabella seguente elenca la sintassi della home directory per i provider di autenticazione forniti con il servizio FTP:

Tipi di account utente Sintassi della home directory fisica
Utenti anonimi %FtpRoot%\LocalUser\Public
Account utente di Windows locali (richiede l'autenticazione di base) %FtpRoot%\LocalUser\%UserName%
Account di dominio di Windows (richiede l'autenticazione di base) %FtpRoot%\%UserDomain%\%UserName%
Gestione IIS o ASP.NET account utente di autenticazione personalizzati %FtpRoot%\LocalUser\%UserName%

Nota

Nella tabella precedente %FtpRoot% è la directory radice per il sito FTP; ad esempio . C:\Inetpub\Ftproot

Nota importante: le directory virtuali globali sono abilitate; Tutte le directory virtuali configurate a livello radice del sito FTP possono essere accessibili da tutti gli utenti FTP, purché dispongano di autorizzazioni sufficienti.

Configurazione delle impostazioni di isolamento utente per tutte le directory

Quando si isolano gli utenti per tutte le directory, tutte le sessioni utente FTP sono limitate alla directory fisica o virtuale con lo stesso nome dell'account utente FTP. Inoltre, tutte le directory virtuali globali create verranno ignorate. In questo passaggio si configurerà l'isolamento utente per tutte le directory e si aggiungerà una directory virtuale per l'utente amministratore.

  1. In Gestione IIS fare clic sul nodo per il sito FTP creato; verranno visualizzate le icone per tutte le funzionalità FTP.

  2. Fare doppio clic sull'icona Ftp User Isolation (Isolamento utente FTP ) per aprire la funzionalità di isolamento utente FTP.
    Screenshot della schermata I S Manager della sezione My New F T P Site Home setion con il collegamento F T P User Isolation evidenziato.

  3. Quando viene visualizzata la pagina della funzionalità Isolamento utenti FTP , selezionare l'opzione Directory nome utente (disabilita directory virtuali globali), quindi fare clic su Applica nel riquadro Azioni .
    Screenshot della sezione F T P User Isolation della schermata I S Manager in cui è selezionata l'opzione Nome utente (disabilita directory virtuali globali).

  4. Espandere il nodo della struttura ad albero per il sito FTP, quindi fare clic con il pulsante destro del mouse sulla cartella LocalUser e scegliere Aggiungi directory virtuale.

    Nota

    In questo esempio la cartella "LocalUser" è una directory fisica, ma potrebbe essere stata usata anche una directory virtuale.

    Screenshot del riquadro Connessioni della schermata I S Manager con lo stato attivo sull'opzione Aggiungi directory virtuale nel menu a discesa.

  5. Quando viene visualizzata la finestra di dialogo Aggiungi directory virtuale :

    • Immettere "administrator" per Alias.
    • Immettere %SystemDrive%\inetpub\adminfiles per Il percorso fisico.
    • Dopo aver completato questi elementi, fare clic su OK.
      Screenshot della finestra di dialogo Aggiungi directory virtuale.

Accesso al sito FTP

È ora possibile accedere al sito FTP usando l'isolamento utente, ma si applicano le informazioni seguenti:

  1. Come nel passaggio 3, se si accede al sito FTP in modo anonimo, la sessione sarà limitata alla cartella "LocalUser\Public" creata nella sezione Prerequisiti.
  2. Se si accede al sito FTP usando l'account amministratore, la sessione sarà limitata alla directory virtuale "/LocalUser/administrator" appena creata.

Riepilogo

Per riepilogare gli elementi completati in questo passaggio, è stato configurato l'isolamento utente FTP usando l'opzione Nome utente (disabilita directory virtuali globali). Quando si usa questa modalità di isolamento utente, tutte le sessioni utente FTP sono limitate alla directory virtuale o fisica con lo stesso nome dell'account utente FTP e tutte le directory virtuali globali create verranno ignorate.

Per creare le home directory per ogni utente, è innanzitutto necessario creare una directory virtuale o fisica nella cartella radice del server FTP denominata dopo il dominio o denominato LocalUser per gli account utente locali. Successivamente, è necessario creare una directory virtuale o fisica per ogni account utente che accederà al sito FTP. La tabella seguente elenca la sintassi della home directory per i provider di autenticazione forniti con il servizio FTP:

Tipi di account utente Sintassi della home directory fisica
Utenti anonimi %FtpRoot%\LocalUser\Public
Account utente di Windows locali (richiede l'autenticazione di base) %FtpRoot%\LocalUser\%UserName%
Account di dominio di Windows (richiede l'autenticazione di base) %FtpRoot%\%UserDomain%\%UserName%
Gestione IIS o ASP.NET account utente di autenticazione personalizzati %FtpRoot%\LocalUser\%UserName%

Nota

Nella tabella precedente %FtpRoot% è la directory radice per il sito FTP; ad esempio . C:\Inetpub\Ftproot

Le directory virtuali globali vengono ignorate; Non è possibile accedere a tutte le directory virtuali configurate a livello radice del sito FTP da parte di utenti FTP. Tutte le directory virtuali devono essere definite in modo esplicito nel percorso della home directory fisica o virtuale di un utente.