Creazione e Configurazione di Siti FTP in Windows Server 2003
In un precedente articolo abbiamo visto che Internet Information Services 6 (IIS 6) è una potente piattaforma per la creazione e l’hosting di siti web per Internet e intranet aziendali. IIS 6 è anche altrettanto utile per la creazione di siti FTP per uso pubblico o aziendale, e in questo articolo andremo attraverso il processo di creazione e configurazione di siti FTP utilizzando sia la GUI (IIS Manager) e gli script inclusi in Windows Server 2003. I compiti specifici che cammineremo attraverso in questo articolo sono:
- Creazione di un Sito FTP
- Controllare l’Accesso a un Sito FTP
- Configurazione del Sito FTP Registrazione
- Avvio e Arresto Siti FTP
- l’Implementazione di un Utente FTP Isolamento
Per l’amor di interesse, abbiamo”ll nuovo spiegare queste attività, nel contesto di una società fittizia chiamata TestCorp come si distribuisce siti FTP sia per l’intranet aziendale e per gli utenti anonimi su Internet.
Passaggi preliminari
Come menzionato nell’articolo precedente, IIS non viene installato di default durante un’installazione standard di Windows Server 2003, e se è stato installato IIS utilizzando Manage Your Server come descritto nell’articolo precedente, questo installa il servizio WWW ma non il servizio FTP. Quindi, prima di poter creare siti FTP, dobbiamo prima installare il servizio FTP sulla nostra macchina IIS. Per fare ciò, dobbiamo aggiungere un componente aggiuntivo al ruolo del server delle applicazioni che abbiamo assegnato alla nostra macchina quando abbiamo utilizzato Gestisci il tuo server per installare IIS.
Inizia aprendo Aggiungi o Rimuovi programmi nel Pannello di controllo e selezionando Aggiungi / Rimuovi componenti di Windows. Poi selezionare la casella di controllo per l’Applicazione Server:
fare Clic su Dettagli e selezionare la casella di controllo per Internet Information Services (IIS):
fare Clic su Dettagli e selezionare la casella di controllo per il File Transfer Protocol (FTP) Servizi.
Fare clic su OK due volte e quindi su Avanti per installare il servizio FTP. Durante l’installazione è necessario inserire il CD del prodotto Windows Server 2003 o passare a un punto di distribuzione di rete in cui si trovano i file di installazione di Windows Server 2003. Fare clic su Fine al termine della procedura guidata.
Creazione di un sito FTP
Come per i siti web, l’approccio più semplice per identificare ogni sito FTP sul computer è quello di assegnare a ciascuno di essi un indirizzo IP separato, quindi diciamo che il nostro server ha tre indirizzi IP (172.16.11.210, 172.16.11.211 e 172.16.11.212) assegnati ad esso. Il nostro primo compito sarà quello di creare un nuovo sito FTP per il reparto Risorse umane, ma prima di farlo cerchiamo di prima esaminare il sito FTP predefinito che è stato creato quando abbiamo installato il servizio FTP sulla nostra macchina. Aprire IIS Manager in Strumenti di amministrazione, selezionare Siti FTP nella struttura della console e fare clic con il pulsante destro del mouse su Sito FTP predefinito e selezionare Proprietà:
Proprio come il sito Web predefinito, l’indirizzo IP del sito FTP predefinito è impostato su Tutti non assegnati. Ciò significa che qualsiasi indirizzo IP non specificamente assegnato a un altro sito FTP sul computer apre invece il sito FTP predefinito, quindi in questo momento si apre ftp://172.16.11.210, ftp://172.16.11.211 oppure ftp://172.16.11.212 in Internet Explorer verrà visualizzato il contenuto del sito FTP predefinito.
Assegniamo l’indirizzo IP 172.16.11.210 per il sito FTP Risorse umane e facciamo D:\HR la cartella in cui si trova il suo contenuto. Per creare il nuovo sito FTP, fare clic con il pulsante destro del mouse sul nodo Siti FTP e selezionare Nuovo Site> Sito FTP. Questo avvia la creazione guidata del sito FTP. Fare clic su Avanti e digitare una descrizione per il sito:
fare Clic su Avanti e specificare 172.16.11.210 come indirizzo IP per il nuovo sito:
fare Clic su Avanti e selezionare gli utenti non isolano, dal momento che questo sarà un sito che nessuno (compresi gli utenti ospiti) saranno liberi di accedere:
Fare clic su Avanti e specificare C:\HR come la posizione della directory principale del sito:
fare Clic su Avanti e lasciare le autorizzazioni di accesso impostato in sola Lettura come questo sito saranno utilizzati esclusivamente per il download forme attuali e potenziali dipendenti:
Fare clic su Avanti e quindi su Fine per completare la procedura guidata. Le nuove Risorse Umane sito FTP può ora essere visto in IIS Manager in i Siti FTP nodo:
Per visualizzare il contenuto di questo sito, andare al desktop di Windows XP sulla stessa rete e aprire l’URL ftp://172.16.11.210 utilizzo di Internet Explorer:
Nota nella barra di stato in fondo alla finestra di IE che si è connessi come utente anonimo. Per visualizzare tutti gli utenti attualmente connessi al sito FTP Risorse umane, fare clic con il pulsante destro del mouse sul sito in Internet Service Manager e selezionare Proprietà, quindi nella scheda Sito FTP fare clic sul pulsante Sessioni correnti per aprire la finestra di dialogo Sessioni utente FTP:
Si noti che gli utenti anonimi che utilizzano IE vengono visualizzati come IEUser@ in Utenti connessi.
Ora creiamo un altro sito FTP usando uno script invece della GUI. Creeremo un sito chiamato Aiuto e supporto con directory principale C:\Support e indirizzo IP 172.16.11.211:
Ecco il risultato dell’esecuzione dello script:
Lo script che abbiamo usato qui è Iisftp.vbs, che come Iisweb.vbs e Iisvdir.vbs che abbiamo discusso nel precedente articolo è uno dei numerosi script di amministrazione IIS disponibili quando si installa IIS su Windows Server 2003. Una sintassi completa per questo script può essere trovata qui. Una volta creato un nuovo sito FTP utilizzando questo script è possibile configurare ulteriormente il sito utilizzando IIS Manager nel solito modo.
Nota: A questo punto è possibile aggiungere struttura al sito FTP con la creazione di directory virtuali, e questo viene fatto nello stesso modo come è stato descritto nel precedente articolo per lavorare con i siti web.
Controllo dell’accesso a un sito FTP
Proprio come per i siti web, esistono quattro modi per controllare l’accesso ai siti FTP su IIS: autorizzazioni NTFS, autorizzazioni IIS, restrizioni dell’indirizzo IP e metodo di autenticazione. Le autorizzazioni NTFS sono sempre la tua prima linea di difesa, ma non possiamo coprirle in dettaglio qui. Le autorizzazioni IIS sono specificate nella scheda Home Directory del foglio delle proprietà del sito FTP:
Si noti che le autorizzazioni di accesso per i siti FTP sono molto più semplici (solo lettura e scrittura) di quanto non lo siano per i siti Web, e per impostazione predefinita è abilitata solo l’autorizzazione di lettura, che consente agli utenti di scaricare file dal sito FTP. Se si consente l’accesso in scrittura, gli utenti saranno in grado di caricare i file sul sito pure. E, naturalmente, le autorizzazioni di accesso e le autorizzazioni NTFS si combinano allo stesso modo per i siti web.
Come i siti Web, le restrizioni sugli indirizzi IP possono essere utilizzate per consentire o negare l’accesso al sito da parte di client che dispongono di un indirizzo IP specifico, di un indirizzo IP in un intervallo di indirizzi o di un nome DNS specifico. Queste restrizioni sono configurate nella scheda Sicurezza directory proprio come lo sono per i siti web, e questo è stato trattato nel precedente articolo in modo da non discuterne ulteriormente qui.
I siti FTP hanno anche meno opzioni di autenticazione rispetto ai siti Web, come si può vedere selezionando la scheda Account di sicurezza:
Per impostazione predefinita Consenti connessioni anonime è selezionato, e questo va bene per i siti FTP pubblici su Internet, ma per i siti FTP privati su una intranet aziendale si consiglia di deselezionare questa casella di controllo per impedire l’accesso anonimo al sito. Deselezionando questa casella, il sito FTP utilizza invece l’autenticazione di base e agli utenti che tentano di accedere al sito viene visualizzata una finestra di dialogo di autenticazione:
Si noti che l’autenticazione di base passa le credenziali dell’utente sulla rete in chiaro, quindi ciò significa che i siti FTP sono intrinsecamente insicuri (non supportano l’autenticazione integrata di Windows). Quindi, se hai intenzione di distribuire un sito FTP privato sulla tua rete interna, assicurati di chiudere le porte 20 e 21 sul tuo firewall per bloccare il traffico FTP in entrata da utenti esterni su Internet.
Configurazione della registrazione del sito FTP
Come per i siti Web, il formato di registrazione predefinito per i siti FTP è il formato di file di log esteso W3C e i registri del sito FTP vengono memorizzati in cartelle denominate
%SystemRoot% \ system32 \ LogFiles \ MSFTPSVCNNNNN
dove nnnn è il numero ID del sito FTP. E proprio come con i siti web, è possibile utilizzare il Log Parser di Microsoft, parte del IIS 6.0 Resource Kit Tools, per analizzare questi registri del sito FTP.
Arresto e avvio di siti FTP
Se un sito FTP non è disponibile, potrebbe essere necessario riavviarlo per farlo funzionare di nuovo, cosa che è possibile fare utilizzando IIS Manager facendo clic con il pulsante destro del mouse sul sito FTP e selezionando Stop e quindi Start. Dalla riga di comando è possibile digitare net stop msftpsvc seguito da net start msftpsvc o utilizzare iisreset per riavviare tutti i servizi IIS. Ricorda che il riavvio di un sito FTP è l’ultima risorsa in quanto tutti gli utenti attualmente connessi al sito verranno disconnessi.
Implementazione dell’isolamento utente FTP
Infine, concludiamo osservando come implementare la nuova funzionalità di isolamento utente FTP di IIS in Windows Server 2003. Quando un sito FTP utilizza questa funzione, ogni utente che accede al sito ha una home directory FTP che è una sottodirectory sotto la directory principale per il sito FTP, e dal punto di vista dell’utente la loro home directory FTP sembra essere la cartella di primo livello del sito. Ciò significa che agli utenti viene impedito di visualizzare i file nelle directory home FTP di altri utenti, il che ha il vantaggio di fornire sicurezza per i file di ciascun utente.
Creiamo un nuovo sito FTP chiamato Staff che fa uso di questa nuova funzionalità, usando C:\Staff Cartelle come directory principale per il sito e 172.16.11.212 per l’indirizzo IP del sito. Avviare la creazione guidata sito FTP come abbiamo fatto in precedenza e passare attraverso di essa fino a raggiungere la pagina di isolamento utente FTP e selezionare l’opzione Isolare gli utenti in questa pagina:
Continuare con la procedura guidata ed essere sicuri di dare agli utenti sia il permesso di lettura e scrittura in modo che possano caricare e scaricare file.
Ora diciamo che hai due utenti, Bob Smith (bsmith) e Mary Jones (mjones) che hanno account in un dominio il cui nome pre-Windows 2000 è TESTTWO. Per fornire a questi utenti le directory home FTP sul server, creare prima una sottocartella denominata \ TESTTWO sotto le cartelle \ Staff (la directory radice FTP). Quindi creare sottocartelle \ bsmith e \ mjones sotto la cartella \ Accounts. La struttura delle cartelle dovrebbe ora essere simile a questa:
C:\ Staff Folders
\TESTTWO
\bsmith
\ mjones
Per testare l’isolamento dell’utente FTP mettiamo un nome di file Il documento di Bob.doc nella sottocartella \ bsmith e nel documento di Mary.doc nella sottocartella \ mjones. Ora vai su un desktop di Windows XP e apri Internet Explorer e prova ad aprire ftp://172.16.11.212, che è l’URL per il sito FTP Personale che abbiamo appena creato. Quando si esegue questa operazione viene visualizzata una finestra di dialogo di autenticazione e, se sei Bob, è possibile inserire il nome utente (utilizzando il modulo DOMAIN\username) e la password in questo modo:
Quando Bob fa clic sul pulsante Accedi viene visualizzato il contenuto della sua home directory FTP:
Si noti che quando si crea un nuovo sito FTP utilizzando l’isolamento utente FTP, non è possibile convertirlo in un normale sito FTP (uno che non ha l’isolamento utente FTP abilitato). Allo stesso modo, un normale sito FTP non può essere convertito in uno utilizzando l’isolamento utente FTP.
Abbiamo ancora bisogno di esplorare un’altra opzione e questa è la terza opzione nella pagina di isolamento utente FTP della creazione guidata sito FTP, vale a dire Isolare gli utenti che utilizzano Active Directory. Dal momento che abbiamo esaurito gli indirizzi IP, eliminiamo prima la Guida e il supporto del sito FTP per liberare 172.16.11.211. Un modo per farlo è aprire un prompt dei comandi e digitare iisftp / delete “Help and Support” usando iisftp.script di comando vbs. Quindi avviare nuovamente la creazione guidata del sito FTP e selezionare la terza opzione sopra menzionata (chiameremo questa nuova Gestione del sito):
Fare clic su Avanti e immettere un account amministratore nel dominio, la password per questo account e il nome completo del dominio:
Fare clic su Avanti e confermare la password e completare la procedura guidata nel solito modo. Noterai che non ti è stato richiesto di specificare una directory root per il nuovo sito FTP. Questo perché quando si utilizza questo approccio la home directory FTP di ogni utente è definita da due variabili di ambiente: %ftproot% che definisce la directory principale e può essere ovunque tra cui un percorso UNC per una condivisione di rete su un altro computer, ad esempio \\test220\docs, e %ftpdir% che può essere impostato a %username%, in modo che, per esempio, Bob Smith FTP home directory di essere \\test220\docs\bsmith e questa cartella dovrebbe essere preparati in anticipo per lui. È possibile impostare queste variabili di ambiente utilizzando uno script di accesso e assegnare lo script utilizzando Criteri di gruppo, ma questo è oltre l’ambito di questo presente articolo.
Sommario
In questo articolo ho spiegato come creare e configurare siti FTP in vari modi su IIS 6. Con l’eccezione dell’isolamento utente FTP, tutto ciò che abbiamo trattato qui si applica anche a IIS 5 su Windows 2000. Se volete saperne di più su IIS 6 e le sue capacità, vedere il mio libro IIS 6 Administration (Osborne/McGraw-Hill).