Поделиться через

Настройка изоляции пользователей FTP в IIS 7

  • Статья

Роберт Мак-Мюррей

Совместимость

Версия Примечания
IIS 7,5 Служба FTP 7.5 поставляется в качестве компонента для IIS 7.5 в Windows 7 и Windows Server 2008 R2.
IIS 7.0 Службы FTP 7.0 и FTP 7.5 были отправлены по аппаратному каналу для IIS 7.0, для чего требовалось скачать и установить службу по следующему URL-адресу: https://www.iis.net/downloads/microsoft/ftp.

Введение

Корпорация Майкрософт создала новую службу FTP, которая была полностью перезаписана для Windows Server 2008. Эта новая служба FTP включает в себя множество новых функций, которые позволяют веб-авторам публиковать содержимое лучше, чем раньше, и предлагает веб-администраторам более широкие возможности безопасности и развертывания.

В этом документе описаны различные параметры изоляции пользователей FTP с помощью нового пользовательского интерфейса FTP и непосредственного редактирования файлов конфигурации IIS.

Примечание

Это пошаговое руководство содержит ряд шагов, в которых вы будете входить на ftp-сайт с помощью учетной записи локального администратора. Эти действия следует выполнять только на самом сервере с помощью адреса замыкания на себя или по протоколу SSL с удаленного сервера. Если вы предпочитаете использовать отдельную учетную запись пользователя вместо учетной записи администратора, необходимо создать соответствующие папки и при необходимости задать соответствующие разрешения для этой учетной записи пользователя.

Предварительные требования

Для выполнения процедур, описанных в этой статье, требуются следующие элементы:

  1. На сервере-кандидате Windows Server 2008 должны быть установлены службы IIS 7, а также должен быть установлен диспетчер служб IIS 2008.

  2. Должна быть установлена новая служба FTP. Вы можете скачать и установить службу FTP с https://www.iis.net/ веб-сайта, используя одну из следующих ссылок:

    • FTP для IIS 7 (x64)
    • FTP для IIS 7 (x86)

  3. Вам потребуется создать корневую папку для публикации FTP:

    • Создайте папку по адресу %SystemDrive%\inetpub\ftproot

    • Задайте разрешения для разрешения анонимного доступа:

      • Откройте командную строку.

      • Введите следующую команду:

        ICACLS "%SystemDrive%\inetpub\ftproot" /Grant IUSR:R /T

      • Закройте командную строку.

  4. Вам потребуется создать дополнительные папки содержимого:

    • Создайте папку по адресу %SystemDrive%\inetpub\ftproot\LocalUser\Public
    • Создайте папку по адресу %SystemDrive%\inetpub\adminfiles

Использование мастера ftp-сайтов для создания FTP-сайта

В этом первом разделе мы создадим новый FTP-сайт, который может быть открыт для доступа только для чтения анонимными пользователями и для чтения и записи от учетной записи администратора.

  1. В диспетчере IIS в области Подключения щелкните узел Сайты в дереве.

  2. Как показано на рисунке ниже, щелкните правой кнопкой мыши узел Сайты в дереве и выберите Команду Добавить FTP-сайт или выберите Добавить FTP-сайт на панели Действия .
    Снимок экрана: экран I I S Manager с фокусом на параметре

  3. При отображении мастера добавления сайта FTP :

    • Введите "Мой новый FTP-сайт" в поле Имя сайта FTP , а затем перейдите %SystemDrive%\inetpub\ftproot в папку, созданную в разделе Предварительные требования. Обратите внимание, что если вы решите ввести путь к папке содержимого, в путях можно использовать переменные среды.
    • Завершив эти действия, нажмите кнопку Далее.
      Снимок экрана: мастер добавления сайта F T P с разделом

  4. На следующей странице мастера:

    • Обычно вы выбираете IP-адрес для ftp-сайта в раскрывающемся списке IP-адрес или можете принять значение по умолчанию "Все неназначенные". Так как вы будете использовать учетную запись администратора позже в этом пошаговом руководстве, вы хотите ограничить доступ к серверу и ввести локальный IP-адрес замыкания на себя на себя, введя "127.0.0.1" в поле IP-адрес .
    • Обычно в поле Порт нужно ввести tcp/IP-порт для FTP-сайта. В этом пошаговом руководстве вы решите принять порт по умолчанию 21.
    • В этом пошаговом руководстве вы не будете использовать имя узла, поэтому убедитесь, что поле Виртуальный узел пусто.
    • Убедитесь, что в раскрывающемся списке Сертификаты задано значение "Не выбрано" и выбран параметр Разрешить SSL .
    • Завершив эти действия, нажмите кнопку Далее.
      Снимок экрана: раздел

  5. На следующей странице мастера:

    • Выберите Анонимный для параметров проверки подлинности .
    • Для параметров авторизации выберите "Анонимные пользователи" в раскрывающемся списке Разрешить доступ к и выберите Чтение для параметра Разрешения .
    • Завершив выполнение этих элементов, нажмите кнопку Готово.
      Снимок экрана: раздел сведений о проверке подлинности и авторизации на экране Добавления сайта F T P с фокусом на параметре Готово.

  6. В диспетчере IIS щелкните узел для созданного FTP-сайта; При этом будут отображаться значки для всех функций FTP.
    Снимок экрана: экран диспетчера I IS с разделом

  7. Необходимо добавить обычную проверку подлинности, чтобы пользователи могли войти в систему. Для этого дважды щелкните значок Проверка подлинности FTP , чтобы открыть страницу функции проверки подлинности FTP.
    Снимок экрана: экран диспетчера I IS с фокусом на параметре проверки подлинности F T P в разделе

  8. Когда откроется страница Проверка подлинности FTP , выберите Обычная проверка подлинности и нажмите кнопку Включить в области Действия .
    Снимок экрана: раздел проверки подлинности F T P на экране диспетчера I SS с фокусом на параметре Включить в области Действия.

  9. В диспетчере IIS щелкните узел ftp-сайта, чтобы повторно отобразить значки для всех функций FTP.

  10. Необходимо добавить правило авторизации, чтобы администратор смог войти в систему. Для этого дважды щелкните значок Правила авторизации FTP , чтобы открыть страницу функции правил авторизации FTP.
    Снимок экрана: параметр

  11. Когда откроется страница Правила авторизации FTP , щелкните Добавить разрешенное правило на панели Действия .
    Снимок экрана: раздел правил авторизации F T P на экране диспетчера IS с фокусом на параметре

  12. При отображении диалогового окна Добавление правила разрешения авторизации :

    • Выберите Указанные пользователи, а затем введите "администратор" в поле.
    • В разделе Разрешения выберите чтение и запись.
    • Завершив эти действия, нажмите кнопку ОК.
      Снимок экрана: диалоговое окно

Сводка

Чтобы вернуть элементы, которые вы выполнили в этом разделе:

  1. Вы создали новый FTP-сайт с именем "Мой новый FTP-сайт" с корнем содержимого сайта по адресу %SystemDrive%\inetpub\ftproot.
  2. Вы привязали FTP-сайт к локальному адресу замыкания на себя на себя компьютер через порт 21, и мы решили не использовать протокол SSL для ftp-сайта.
  3. Вы создали правило по умолчанию для ftp-сайта, разрешая анонимным пользователям доступ на чтение к файлам.
  4. Вы добавили правило авторизации, которое разрешает учетной записи администратора разрешения "Чтение" и "Запись" для ftp-сайта.
  5. Вы добавили обычную проверку подлинности на FTP-сайт.

Изучение новых параметров изоляции пользователей FTP

  1. В диспетчере IIS щелкните узел для созданного FTP-сайта; При этом будут отображаться значки для всех функций FTP.

  2. Дважды щелкните значок Изоляция пользователей FTP , чтобы открыть функцию изоляции пользователей FTP.
    Снимок экрана: раздел My New F T P Site Home (Мой новый сайт F T P) с фокусом на параметре изоляции пользователей F T P.

  3. При отображении страницы функции изоляции пользователей FTP обратите внимание на то, что у вас есть пять различных вариантов:
    Снимок экрана: страница функции

  4. Эти пять вариантов определяются следующим образом:

    • Не изолируйте пользователей. Запуск пользователей в:

      • Корневой каталог FTP

        • Этот параметр указывает, что все сеансы FTP будут запускаться в корневом каталоге ftp-сайта.

          Примечание

          Этот параметр является новым на этом FTP-сервере и просто отключает всю изоляцию пользователей или запуск логики папок.

      • Каталог имени пользователя

        • Этот параметр указывает, что все сеансы FTP будут запускаться в физическом или виртуальном каталоге с тем же именем текущего пользователя, вошедшего в систему, если папка существует. В противном случае сеанс FTP запустится в корневом каталоге ftp-сайта.

          Примечание

          Этот параметр совпадает с вариантом без изоляции пользователей на FTP-сервере IIS 6.0. Дополнительные сведения об использовании этого параметра см. в разделе "Не изолировать режим пользователей" статьи Размещение нескольких FTP-сайтов с изоляцией пользователей FTP (IIS 6.0).

    • Изоляция пользователей. Ограничить пользователей следующим каталогом:

      • Каталог имени пользователя (отключение глобальных виртуальных каталогов)

        • Этот параметр указывает, что необходимо изолировать сеансы пользователя FTP в физическом или виртуальном каталоге с тем же именем учетной записи пользователя FTP. Пользователь может видеть только свой корневой путь FTP и, следовательно, не может перейти на уровень выше своего физического или виртуального дерева папок. Все созданные глобальные виртуальные каталоги будут игнорироваться.

          Примечание

          Этот параметр является новым на этом FTP-сервере.

      • Физический каталог имени пользователя (включение глобальных виртуальных каталогов)

        • Этот параметр указывает, что вы хотите изолировать сеансы пользователя FTP в физическом каталоге с тем же именем учетной записи пользователя FTP. Пользователь может видеть только свой корневой путь FTP и, следовательно, не может перейти на уровень выше своего физического дерева папок. Все созданные глобальные виртуальные каталоги будут применяться ко всем пользователям.

          Примечание

          Этот параметр совпадает с выбором изоляции пользователей на FTP-сервере IIS 6.0.

      • Домашний каталог FTP, настроенный в Active Directory

        • Этот параметр указывает, что необходимо изолировать сеансы пользователей FTP в домашнем каталоге, настроенном в параметрах учетной записи Active Directory для каждого пользователя FTP.

          Примечание

          Этот параметр аналогично выбору изоляции пользователей Active Directory на FTP-сервере IIS 6.0.

Настройка параметров изоляции пользователей по физическим каталогам

При изоляции пользователей только физическими каталогами все сеансы пользователей FTP ограничиваются физическим каталогом с тем же именем учетной записи пользователя FTP. Однако все созданные глобальные виртуальные каталоги будут применяться ко всем пользователям.

  1. В диспетчере IIS щелкните узел для созданного FTP-сайта. При этом будут отображаться значки для всех функций FTP.
  2. Дважды щелкните значок Изоляция пользователя FTP , чтобы открыть функцию изоляции пользователей FTP.
    Снимок экрана с разделом My New F T P Site Home (Мой новый сайт F T P) с выделенным значком изоляции пользователя F TP.
  3. Когда откроется страница изоляции пользователей FTP, выберите параметр Имя пользователя физический каталог (включить глобальные виртуальные каталоги) и нажмите кнопку Применить на панели Действия .
    Снимок экрана: раздел изоляции пользователя F T P с фокусом на параметре Применить.

Вход на FTP-сайт

Теперь вы можете войти на FTP-сайт с помощью изоляции пользователей, но применяются следующие сведения:

  1. Если вы войдете на FTP-сайт анонимно, сеанс будет ограничен папкой LocalUser\Public, созданной в разделе Предварительные требования.
  2. При попытке войти на FTP-сайт с помощью учетной записи администратора запрос на вход будет отклонен, так как в учетной записи администратора не определен домашний каталог. Чтобы разрешить учетной записи администратора войти в систему, необходимо создать домашний каталог для учетной записи администратора по адресу %SystemDrive%\inetpub\ftproot\LocalUser\Administrator. После этого, если вы вошли на FTP-сайт с помощью учетной записи администратора, сеанс будет ограничен только что созданной папкой LocalUser\Administrator.

Сводка

Чтобы вернуть элементы, выполненные на этом шаге, вы настроили изоляцию пользователей FTP с помощью параметра Имя пользователя физический каталог (включить глобальные виртуальные каталоги). При использовании этого режима изоляции пользователей все сеансы пользователей FTP ограничены физическим каталогом с тем же именем учетной записи пользователя FTP, а все созданные глобальные виртуальные каталоги будут применяться ко всем пользователям.

Чтобы создать домашние каталоги для каждого пользователя, сначала необходимо создать физический каталог в корневой папке FTP-сервера с именем домена или LocalUser для учетных записей локальных пользователей. Затем необходимо создать физический каталог для каждой учетной записи пользователя, которая будет обращаться к ftp-сайту. В следующей таблице перечислены синтаксис домашнего каталога для поставщиков проверки подлинности, которые поставляются со службой FTP.

Типы учетных записей пользователей Синтаксис физического домашнего каталога
Анонимные пользователи %FtpRoot%\LocalUser\Public
Локальные учетные записи пользователей Windows (требуется обычная проверка подлинности) %FtpRoot%\LocalUser\%UserName%
Учетные записи домена Windows (требуется обычная проверка подлинности) %FtpRoot%\%UserDomain%\%UserName%
Диспетчер IIS или ASP.NET пользовательские учетные записи пользователей проверки подлинности %FtpRoot%\LocalUser\%UserName%

Примечание

В приведенной выше таблице %FtpRoot% является корневым каталогом для ftp-сайта; Например, C:\Inetpub\Ftproot.

Важное примечание. Глобальные виртуальные каталоги включены; Все виртуальные каталоги, настроенные на корневом уровне ftp-сайта, могут получить доступ все пользователи FTP при условии, что у них есть достаточные разрешения.

Настройка параметров изоляции пользователей для всех каталогов

При изоляции пользователей для всех каталогов все сеансы пользователей FTP ограничиваются физическим или виртуальным каталогом с тем же именем учетной записи пользователя FTP. Кроме того, все созданные глобальные виртуальные каталоги будут игнорироваться. На этом шаге вы настроите изоляцию пользователей для всех каталогов и добавите виртуальный каталог для администратора.

  1. В диспетчере IIS щелкните узел для созданного FTP-сайта. При этом будут отображаться значки для всех функций FTP.

  2. Дважды щелкните значок Изоляция пользователя FTP , чтобы открыть функцию изоляции пользователей FTP.
    Снимок экрана: настройка my New F T P Site Home (Мой новый сайт F T P Site Home) с выделенным ярлыком

  3. Когда откроется страница изоляции пользователей FTP , выберите параметр Каталог имени пользователя (отключить глобальные виртуальные каталоги) и нажмите кнопку Применить в области Действия .
    Снимок экрана с разделом

  4. Разверните узел дерева для FTP-сайта, щелкните правой кнопкой мыши папку LocalUser и выберите команду Добавить виртуальный каталог.

    Примечание

    В этом примере папка LocalUser является физическим каталогом, но также может использоваться виртуальный каталог.

    Снимок экрана с панелью

  5. При появлении диалогового окна Добавление виртуального каталога :

    • Введите "администратор" в поле Псевдоним.
    • Введите %SystemDrive%\inetpub\adminfiles в поле Физический путь.
    • Завершив эти действия, нажмите кнопку ОК.
      Снимок экрана: диалоговое окно

Вход на FTP-сайт

Теперь вы можете войти на FTP-сайт с помощью изоляции пользователей, но применяются следующие сведения:

  1. Как и на шаге 3, при анонимном входе на FTP-сайт сеанс будет ограничен папкой LocalUser\Public, созданной в разделе Предварительные требования.
  2. Если вы войдете на FTP-сайт с помощью учетной записи администратора, сеанс будет ограничен только что созданным виртуальным каталогом /LocalUser/administrator.

Сводка

Чтобы вернуть элементы, выполненные на этом шаге, вы настроили изоляцию пользователей FTP с помощью параметра Каталог имени пользователя (отключение глобальных виртуальных каталогов). При использовании этого режима изоляции пользователей все сеансы пользователей FTP ограничены виртуальным или физическим каталогом с тем же именем учетной записи пользователя FTP, и все созданные глобальные виртуальные каталоги будут игнорироваться.

Чтобы создать домашние каталоги для каждого пользователя, сначала необходимо создать виртуальный или физический каталог в корневой папке FTP-сервера с именем домена или LocalUser для учетных записей локальных пользователей. Затем необходимо создать виртуальный или физический каталог для каждой учетной записи пользователя, которая будет обращаться к ftp-сайту. В следующей таблице перечислены синтаксис домашнего каталога для поставщиков проверки подлинности, которые поставляются со службой FTP.

Типы учетных записей пользователей Синтаксис физического домашнего каталога
Анонимные пользователи %FtpRoot%\LocalUser\Public
Локальные учетные записи пользователей Windows (требуется обычная проверка подлинности) %FtpRoot%\LocalUser\%UserName%
Учетные записи домена Windows (требуется обычная проверка подлинности) %FtpRoot%\%UserDomain%\%UserName%
Диспетчер IIS или ASP.NET пользовательские учетные записи пользователей проверки подлинности %FtpRoot%\LocalUser\%UserName%

Примечание

В приведенной выше таблице %FtpRoot% является корневым каталогом для ftp-сайта; Например, C:\Inetpub\Ftproot.

Глобальные виртуальные каталоги игнорируются; Все виртуальные каталоги, настроенные на корневом уровне ftp-сайта, не могут быть доступны ни одному из пользователей FTP. Все виртуальные каталоги должны быть явно определены в пути к физическому или виртуальному домашнему каталогу пользователя.