• Articles
• admin

v předchozím článku jsme viděli, že internetové informační služby 6 (IIS 6) je výkonná platforma pro vytváření a hostování webových stránek pro Internet i firemní intranety. Služba IIS 6 je také stejně užitečná pro nastavení FTP webů pro veřejné nebo firemní použití a v tomto článku projdeme procesem vytváření a konfigurace FTP webů pomocí GUI (IIS Manager) a skriptů obsažených v systému Windows Server 2003. Konkrétní úkoly budeme procházet v tomto článku jsou:

• vytvoření FTP serveru
• řízení přístupu k FTP serveru
• konfigurace protokolování FTP serveru
• zastavení a spuštění FTP serverů
• implementace izolace uživatelů FTP

pro zajímavost, budeme znovu vysvětlit tyto úkoly v kontextu fiktivní společnosti s názvem TestCorp, jak to nasazuje FTP stránky pro oba své firemní intranet a pro anonymní uživatele na internetu.

předběžné kroky

jak je uvedeno v předchozím článku, služba IIS není ve výchozím nastavení nainstalována během standardní instalace systému Windows Server 2003 a pokud jste nainstalovali službu IIS pomocí správy serveru, jak je popsáno v předchozím článku, nainstaluje se služba WWW, ale nikoli služba FTP. Takže než budeme moci vytvořit FTP weby, musíme nejprve nainstalovat službu FTP na našem počítači IIS. Chcete-li to provést, musíme do role aplikačního serveru, kterou jsme při instalaci služby IIS přiřadili našemu počítači, přidat další komponentu.

začněte otevřením přidat nebo odebrat programy v Ovládacích panelech a výběrem Přidat / odebrat součásti systému Windows. Poté zaškrtněte políčko pro aplikační Server:

klikněte na podrobnosti a zaškrtněte políčko pro internetové informační služby (IIS):

klikněte na podrobnosti a zaškrtněte políčko pro služby File Transfer Protocol (FTP).

Klepněte dvakrát na tlačítko OK a poté na tlačítko Další nainstalujte službu FTP. Během instalace budete muset vložit CD produktu Windows Server 2003 nebo přejít na distribuční bod sítě, kde jsou umístěny instalační soubory systému Windows Server 2003. Po dokončení průvodce klikněte na Dokončit.

vytvoření serveru FTP

stejně jako u webových stránek je nejjednodušším přístupem k identifikaci každého serveru FTP ve vašem počítači přiřadit každému z nich samostatnou adresu IP, takže řekněme, že náš server má přiřazeny tři adresy IP (172.16.11.210, 172.16.11.211 a 172.16.11.212). Naším prvním úkolem bude vytvořit nový FTP server pro oddělení lidských zdrojů, ale než to uděláme, pojďme nejprve prozkoumat výchozí FTP server, který byl vytvořen, když jsme nainstalovali službu FTP na našem počítači. Otevřete Správce služby IIS v nástroji pro správu, vyberte FTP weby ve stromu konzoly a klepněte pravým tlačítkem myši na výchozí FTP Server a vyberte Vlastnosti:

stejně jako výchozí Web je IP adresa pro výchozí server FTP nastavena na hodnotu All Unassigned. To znamená, že jakákoli IP adresa, která není specificky přiřazena jinému serveru FTP v počítači, místo toho otevře výchozí server FTP, takže právě teď se otevře ftp://172.16.11.210, ftp://172.16.11.211 nebo ftp://172.16.11.212 v aplikaci Internet Explorer se zobrazí obsah výchozího serveru FTP.

pojďme přiřadit IP adresu 172.16.11.210 pro FTP server lidských zdrojů a provést D:\HR Složka, kde je umístěn její obsah. Chcete-li vytvořit nový FTP server, klepněte pravým tlačítkem myši na uzel FTP Sites a vyberte Nový –> FTP Server. Tím se spustí Průvodce vytvořením FTP webu. Klikněte na další a zadejte popis webu:

klikněte na další a zadejte 172.16.11.210 jako IP adresu nového webu:

klikněte na další a vyberte neizolovat uživatele, protože se jedná o web, ke kterému bude mít přístup kdokoli (včetně hostujících uživatelů) :

klikněte na další a zadejte C:\HR jako umístění kořenového adresáře pro web:

klikněte na další a ponechte přístupová oprávnění nastavená pouze pro čtení, protože tento web bude použit pouze pro stahování formulářů pro současné i budoucí zaměstnance:

klepnutím na tlačítko Další a poté Dokončit dokončete průvodce. Nový server FTP lidských zdrojů lze nyní vidět ve Správci IIS pod uzlem FTP Sites:

Chcete-li zobrazit obsah tohoto webu, přejděte na plochu systému Windows XP ve stejné síti a otevřete adresu URL ftp://172.16.11.210 používání aplikace Internet Explorer:

ve stavovém řádku ve spodní části okna IE si všimněte, že jste připojeni jako anonymní uživatel. Chcete-li zobrazit všechny uživatele aktuálně připojené k serveru FTP lidských zdrojů, klepněte pravým tlačítkem myši na web ve Správci služeb Internetu a vyberte Vlastnosti, poté na kartě FTP stránky klikněte na tlačítko aktuální relace a otevřete dialogové okno relace uživatelů FTP:

Všimněte si, že anonymní uživatelé používající IE jsou zobrazeni jako IEUser@ pod Připojenými uživateli.

nyní vytvoříme další FTP Web pomocí skriptu místo GUI. Vytvoříme web s názvem Nápověda a podpora s kořenovým adresářem C:\Support a IP adresa 172.16.11.211:

zde je výsledek spuštění skriptu:

skript, který jsme zde použili, je Iisftp.vbs, který jako Iisweb.vbs a Iisvdir.vbs, o kterém jsme diskutovali v předchozím článku, je jedním z několika skriptů pro správu služby IIS, které jsou k dispozici při instalaci služby IIS v systému Windows Server 2003. Úplnou syntaxi tohoto skriptu najdete zde. Jakmile vytvoříte nový server FTP pomocí tohoto skriptu, můžete jej dále nakonfigurovat pomocí Správce služby IIS obvyklým způsobem.

Poznámka: V tomto okamžiku můžete na svůj FTP Web přidat strukturu vytvořením virtuálních adresářů, což se provádí stejným způsobem, jak bylo popsáno v předchozím článku pro práci s webovými stránkami.

řízení přístupu k FTP serveru

stejně jako u webových stránek existují čtyři způsoby, jak můžete řídit přístup k FTP serverům ve službě IIS: oprávnění NTFS, oprávnění IIS, omezení IP adresy a metoda ověřování. Oprávnění NTFS jsou vždy vaší první obrannou linií, ale zde je nemůžeme podrobně pokrýt. Oprávnění služby IIS jsou zadána na kartě domovský adresář listu vlastností vašeho FTP webu:

Všimněte si, že přístupová oprávnění pro FTP weby jsou mnohem jednodušší (pouze pro čtení a zápis) než pro webové stránky a ve výchozím nastavení je povoleno pouze oprávnění ke čtení, což uživatelům umožňuje stahovat soubory z vašeho FTP webu. Pokud povolíte přístup k zápisu, uživatelé budou moci na web také nahrávat soubory. A samozřejmě přístupová oprávnění a oprávnění NTFS kombinují stejným způsobem jako pro webové stránky.

stejně jako webové stránky lze omezení IP adresy použít k povolení nebo odepření přístupu na váš web klienty, kteří mají konkrétní IP adresu, IP adresu v rozsahu adres nebo konkrétní název DNS. Tato omezení jsou nakonfigurována na kartě Zabezpečení adresáře stejně jako pro webové stránky, a to bylo popsáno v předchozím článku, takže o nich nebudeme dále diskutovat.

FTP weby mají také méně možností ověřování než webové stránky, jak je vidět výběrem karty účty zabezpečení:

ve výchozím nastavení je vybrána možnost povolit anonymní připojení, což je v pořádku pro veřejné FTP weby na internetu, ale pro soukromé FTP weby na firemním intranetu možná budete chtít zrušit toto zaškrtávací políčko, abyste zabránili anonymnímu přístupu na váš web. Vymazání tohoto pole má za následek, že váš FTP Web místo toho používá základní autentizaci a uživatelům, kteří se pokusí o přístup na web, se zobrazí dialogové okno ověřování:

Všimněte si, že základní ověřování předává pověření uživatele přes síť v čistém textu, takže to znamená, že servery FTP jsou ze své podstaty nezabezpečené(nepodporují integrované ověřování systému Windows). Takže pokud se chystáte nasadit soukromý FTP server na interní síti, ujistěte se, že zavřete porty 20 a 21 na firewallu blokovat příchozí FTP provoz od externích uživatelů na internetu.

konfigurace protokolování FTP

stejně jako u webových stránek je výchozí formát protokolování pro FTP weby rozšířený formát souboru protokolu W3C a protokoly FTP stránek jsou uloženy ve složkách s názvem

%SystemRoot% \ system32 \ LogFiles\Msftpsvcnnnnnnnnnnnn

kde nnnnnnnnnnn je identifikační číslo FTP serveru. A stejně jako u webových stránek můžete k analýze těchto protokolů FTP použít analyzátor protokolu Microsoft, který je součástí nástrojů sady zdrojů IIS 6.0.

zastavení a spuštění FTP serverů

pokud se FTP server stane nedostupným, bude možná nutné jej restartovat, aby znovu fungoval, což můžete provést pomocí Správce služby IIS kliknutím pravým tlačítkem myši na FTP Web a výběrem Stop a poté Start. Z příkazového řádku můžete zadat net stop msftpsvc následovaný net start msftpsvc nebo použít iisreset restartovat všechny služby IIS. Nezapomeňte, že restartování serveru FTP je poslední možností, protože všichni uživatelé aktuálně připojeni k webu budou odpojeni.

implementace izolace uživatelů FTP

nakonec se podívejme na to, jak implementovat novou funkci izolace uživatelů FTP služby IIS v systému Windows Server 2003. Když server FTP používá tuto funkci, každý uživatel, který přistupuje na web, má domovský adresář FTP, který je podadresářem pod kořenovým adresářem pro server FTP, a z pohledu uživatele se jejich domovský adresář FTP jeví jako složka nejvyšší úrovně webu. To znamená, že uživatelům je zabráněno v prohlížení souborů v domovských adresářích FTP jiných uživatelů, což má tu výhodu, že poskytuje zabezpečení pro soubory každého uživatele.

pojďme vytvořit nový FTP server s názvem Staff, který využívá tuto novou funkci pomocí C:\Staff složky jako kořenový adresář pro web a 172.16.11.212 pro IP adresu webu. Spusťte Průvodce vytvořením FTP webu, jako jsme to udělali dříve, a projděte jej, dokud se nedostanete na stránku izolace uživatelů FTP a na této stránce vyberte možnost izolovat uživatele:

pokračujte v průvodci a nezapomeňte uživatelům povolit čtení i zápis, aby mohli nahrávat a stahovat soubory.

nyní řekněme, že máte dva uživatele, Bob Smith (bsmith) a Mary Jones (mjones), kteří mají účty v doméně, jejíž název před Windows 2000 je TESTTWO. Chcete-li těmto uživatelům poskytnout domovské adresáře FTP na vašem serveru, nejprve vytvořte podsložku s názvem \ TESTTWO pod složkami \ Staff (kořenový adresář FTP). Poté vytvořte podsložky \bsmith a \mjones pod složkou \ Accounts. Struktura složek by nyní měla vypadat takto:

C:\Staff Folders
\ TESTTWO
\bsmith
\mjones

pro testování izolace uživatelů FTP vložíme název souboru Bobův dokument.doc v podsložce \bsmith a Maryin dokument.doc v podsložce \mjones. Nyní přejděte na plochu Windows XP a otevřete aplikaci Internet Explorer a zkuste ji otevřít ftp://172.16.11.212, což je adresa URL pro server FTP zaměstnanců, který jsme právě vytvořili. Když to uděláte, zobrazí se dialogové okno ověřování a pokud jste Bob, můžete zadat své uživatelské jméno (pomocí formuláře DOMAIN\username) a heslo takto:

když Bob klikne na tlačítko Přihlášení, zobrazí se obsah jeho domovského adresáře FTP:

Všimněte si, že když vytvoříte nový server FTP pomocí izolace uživatele FTP, nemůžete jej převést na běžný server FTP (ten, který nemá povolenou izolaci uživatele FTP). Podobně běžný FTP server nelze převést na jeden pomocí izolace uživatele FTP.

stále musíme prozkoumat ještě jednu možnost a to je třetí možnost na stránce izolace uživatelů FTP Průvodce vytvořením webu FTP, a to izolovat uživatele pomocí služby Active Directory. Vzhledem k tomu, že nám došly IP adresy, nejprve vymažeme stránku nápovědy a podpory FTP, abychom uvolnili 172.16.11.211. Jedním ze způsobů, jak toho dosáhnout, je otevření příkazového řádku a zadání iisftp /delete „Help and Support“ pomocí iisftp.příkazový skript vbs. Poté znovu spusťte Průvodce vytvořením FTP webu a vyberte třetí možnost uvedenou výše (pojmenujeme tuto novou správu webu):

klepněte na tlačítko Další a zadejte účet správce v doméně, heslo pro tento účet a celé jméno domény:

klepněte na tlačítko Další a potvrďte heslo a dokončete průvodce obvyklým způsobem. Všimnete si, že jste nebyli vyzváni k zadání kořenového adresáře pro nový server FTP. Je to proto, že při použití tohoto přístupu je domovský adresář FTP každého uživatele definován dvěma proměnnými prostředí: %ftproot%, který definuje kořenový adresář a může být kdekoli, včetně cesty UNC ke sdílené síti na jiném počítači, jako je \\test220\docs, a %ftpdir%, které lze nastavit na %username% , takže například domovský adresář FTP Boba Smitha by byl \ \ test220 \ docs\bsmith a tato složka by pro něj musela být předem vytvořena. Tyto proměnné prostředí můžete nastavit pomocí přihlašovacího skriptu a přiřadit skript pomocí zásad skupiny, ale to je nad rámec tohoto článku.

shrnutí

v tomto článku jsem vysvětlil, jak vytvářet a konfigurovat FTP weby různými způsoby na IIS 6. S výjimkou izolace uživatelů FTP platí vše, co jsme zde pokryli, také pro službu IIS 5 v systému Windows 2000. Pokud se chcete dozvědět více o službě IIS 6 a jejích možnostech, podívejte se na administraci služby IIS 6 v mé knize (Osborne/McGraw-Hill).