• Articles
• admin

w poprzednim artykule zobaczyliśmy, że Internet Information Services 6 (IIS 6) jest potężną platformą do budowania i hostowania stron internetowych zarówno dla Internetu, jak i intranetów korporacyjnych. Usługi IIS 6 są równie przydatne do konfigurowania witryn FTP do użytku publicznego lub korporacyjnego, a w tym artykule omówimy proces tworzenia i konfigurowania witryn FTP przy użyciu zarówno interfejsu GUI (Menedżera usług IIS), jak i skryptów zawartych w systemie Windows Server 2003. Konkretne zadania, które przejdziemy w tym artykule, to:

• Tworzenie witryny FTP
• kontrolowanie dostępu do witryny FTP
• Konfigurowanie logowania witryny FTP
• zatrzymywanie i uruchamianie witryn FTP
• wdrażanie izolacji użytkowników FTP

ze względu na zainteresowanie, ponownie wyjaśnimy te zadania w kontekście fikcyjnej firmy TestCorp, która wdraża witryny FTP zarówno dla firmowego intranetu, jak i dla anonimowych użytkowników w Internecie.

kroki wstępne

jak wspomniano w poprzednim artykule, usługi IIS nie są domyślnie instalowane podczas standardowej instalacji systemu Windows Server 2003, a jeśli zostały zainstalowane usługi IIS za pomocą funkcji Zarządzaj serwerem zgodnie z opisem w poprzednim artykule, spowoduje to zainstalowanie usługi WWW, ale nie usługi FTP. Zanim więc będziemy mogli utworzyć witryny FTP, najpierw musimy zainstalować usługę FTP na naszym komputerze IIS. Aby to zrobić, musimy dodać dodatkowy komponent do roli serwera aplikacji, którą przypisaliśmy naszej maszynie, gdy użyliśmy Manage your Server do zainstalowania usług IIS.

Rozpocznij od otwarcia Dodaj lub usuń programy w Panelu sterowania i wybrania opcji Dodaj / Usuń składniki systemu Windows. Następnie zaznacz pole wyboru serwer aplikacji:

kliknij szczegóły i zaznacz pole wyboru dla Internetowych usług informacyjnych (IIS):

kliknij szczegóły i zaznacz pole wyboru usługi File Transfer Protocol (FTP).

Kliknij dwukrotnie OK, a następnie Dalej, aby zainstalować usługę FTP. Podczas instalacji należy włożyć płytę CD z produktem systemu Windows Server 2003 lub przejść do sieciowego punktu dystrybucji, w którym znajdują się pliki instalacyjne systemu Windows Server 2003. Po zakończeniu Kreatora kliknij przycisk Zakończ.

Tworzenie strony FTP

podobnie jak w przypadku stron internetowych, najprostszym podejściem do identyfikacji każdej strony FTP na twoim komputerze jest przypisanie każdemu z nich osobnego adresu IP, powiedzmy więc, że nasz serwer ma przypisane trzy adresy IP (172.16.11.210, 172.16.11.211 i 172.16.11.212). Naszym pierwszym zadaniem będzie utworzenie nowej witryny FTP dla działu zasobów ludzkich, ale zanim to zrobimy, najpierw zbadajmy domyślną witrynę FTP, która została utworzona podczas instalacji usługi FTP na naszym komputerze. Otwórz Menedżera usług IIS w narzędziach administracyjnych, wybierz witryny FTP w drzewie konsoli, a następnie kliknij prawym przyciskiem myszy domyślną witrynę FTP i wybierz Właściwości:

podobnie jak domyślna witryna internetowa, adres IP domyślnej witryny FTP jest ustawiony na wszystkie Nieprzypisane. Oznacza to, że każdy adres IP, który nie jest specjalnie przypisany do innej witryny FTP na komputerze, otwiera zamiast tego domyślną witrynę FTP, więc teraz otwiera albo ftp://172.16.11.210, ftp://172.16.11.211 lub ftp://172.16.11.212 w Internet Explorer wyświetli zawartość domyślnej witryny FTP.

niech ” s przypisać adres IP 172.16.11.210 dla zasobów ludzkich witryny FTP i zrobić D:\HR folder, w którym znajduje się jego zawartość. Aby utworzyć nową witrynę FTP, kliknij prawym przyciskiem myszy węzeł witryny FTP i wybierz opcję Nowa — > witryna FTP. Uruchamia się Kreator tworzenia witryny FTP. Kliknij Dalej i wpisz opis strony:

kliknij Dalej i podaj 172.16.11.210 jako adres IP nowej witryny:

kliknij Dalej i wybierz nie izoluj użytkowników, ponieważ będzie to witryna, do której każdy (w tym użytkownicy gościnni) będzie miał dostęp:

kliknij Dalej i określ C:\HR jako lokalizacja katalogu głównego dla witryny:

kliknij Dalej i pozostaw uprawnienia dostępu ustawione na Tylko do odczytu, ponieważ ta strona będzie używana tylko do pobierania formularzy dla obecnych i przyszłych pracowników:

kliknij przycisk Dalej, a następnie Zakończ, aby ukończyć Kreator. Nowa witryna FTP zasobów ludzkich jest teraz widoczna w Menedżerze usług IIS w węźle witryn FTP:

aby wyświetlić zawartość tej witryny, przejdź do pulpitu systemu Windows XP w tej samej sieci i otwórz adres URL ftp://172.16.11.210 korzystanie z przeglądarki Internet Explorer:

uwaga na pasku stanu na dole okna IE, że jesteś podłączony jako anonimowy użytkownik. Aby wyświetlić wszystkich użytkowników aktualnie połączonych z witryną FTP Zasobów Ludzkich, kliknij prawym przyciskiem myszy witrynę w Menedżerze usług internetowych i wybierz Właściwości, a następnie na karcie witryna FTP kliknij przycisk bieżące sesje, aby otworzyć okno dialogowe sesje użytkowników FTP:

zauważ, że anonimowi użytkownicy korzystający z IE są wyświetlani jako IEUser@ pod połączonymi użytkownikami.

teraz stwórzmy kolejną witrynę FTP za pomocą skryptu zamiast GUI. Stworzymy stronę o nazwie Pomoc i wsparcie z katalogu głównego C:\Support oraz adres IP 172.16.11.211:

oto wynik uruchomienia skryptu:

skrypt, którego tu użyliśmy to Iisftp.vbs, czyli jak Iisweb.vbs i Iisvdir.vbs, który omówiliśmy w poprzednim artykule, jest jednym z kilku skryptów administracyjnych usług IIS dostępnych podczas instalacji usług IIS w systemie Windows Server 2003. Pełna składnia tego skryptu znajduje się tutaj. Po utworzeniu nowej witryny FTP za pomocą tego skryptu można dalej konfigurować witrynę za pomocą Menedżera usług IIS w zwykły sposób.

Uwaga: W tym momencie możesz dodać strukturę do swojej witryny FTP, tworząc wirtualne katalogi, a odbywa się to w taki sam sposób, jak opisano w poprzednim artykule do pracy z witrynami internetowymi.

kontrolowanie dostępu do witryny FTP

podobnie jak w przypadku witryn sieci web, istnieją cztery sposoby kontrolowania dostępu do witryn FTP w usługach IIS: uprawnienia NTFS, uprawnienia usług IIS, ograniczenia adresów IP i metoda uwierzytelniania. Uprawnienia NTFS są zawsze pierwszą linią obrony, ale nie możemy ich szczegółowo opisać tutaj. Uprawnienia usług IIS są określone na karcie Katalog domowy w arkuszu właściwości witryny FTP:

należy pamiętać, że uprawnienia dostępu do witryn FTP są znacznie prostsze (tylko do odczytu i zapisu) niż w przypadku witryn internetowych i domyślnie włączone są tylko uprawnienia do odczytu, co pozwala użytkownikom pobierać pliki z witryny FTP. Jeśli zezwolisz na zapis, użytkownicy będą mogli również przesyłać pliki do witryny. I oczywiście uprawnienia dostępu i uprawnienia NTFS łączą się w ten sam sposób, co w przypadku witryn internetowych.

podobnie jak witryny internetowe, ograniczenia adresów IP mogą być używane do zezwalania lub odmawiania dostępu do witryny klientom, którzy mają określony adres IP, adres IP w zakresie adresów lub określoną nazwę DNS. Ograniczenia te są skonfigurowane na karcie Bezpieczeństwo katalogu, tak jak są one dla witryn internetowych, i to zostało omówione w poprzednim artykule, więc nie będziemy omawiać ich dalej tutaj.

witryny FTP mają również mniej opcji uwierzytelniania niż witryny internetowe, co widać po wybraniu karty konta bezpieczeństwa:

domyślnie zaznaczono opcję Zezwalaj na anonimowe połączenia, co jest dobre dla publicznych witryn FTP w Internecie, ale dla prywatnych witryn FTP w firmowym intranecie możesz wyczyścić to pole wyboru, aby zapobiec anonimowemu dostępowi do witryny. Wyczyszczenie tego pola powoduje, że witryna FTP używa zamiast tego uwierzytelniania podstawowego, a użytkownicy, którzy próbują uzyskać dostęp do Witryny, są wyświetlani z oknem dialogowym uwierzytelniania:

zauważ, że uwierzytelnianie podstawowe przekazuje poświadczenia użytkownika przez sieć w jasnym tekście, co oznacza, że witryny FTP są z natury niezabezpieczone (nie obsługują uwierzytelniania zintegrowanego z systemem Windows). Jeśli więc zamierzasz wdrożyć prywatną witrynę FTP w sieci wewnętrznej, upewnij się, że zamykasz porty 20 i 21 w zaporze, aby zablokować przychodzący ruch FTP od zewnętrznych użytkowników w Internecie.

Konfigurowanie logowania witryny FTP

podobnie jak w przypadku witryn internetowych, domyślnym formatem logowania dla witryn FTP jest rozszerzony Format pliku dziennika W3C, a logi witryny FTP są przechowywane w folderach o nazwie

%SystemRoot% \ system32 \ LogFiles \ MSFTPSVCnnnnnnnnnn

gdzie nnnnnnnnnn jest numerem ID strony FTP. Podobnie jak w przypadku witryn internetowych, można użyć parsera dziennika Microsoft, części narzędzi zestawu zasobów IIS 6.0, do analizy dzienników witryny FTP.

zatrzymywanie i uruchamianie witryn FTP

jeśli witryna FTP stanie się niedostępna, konieczne może być jej ponowne uruchomienie, aby ponownie działała, co można zrobić za pomocą Menedżera usług IIS, klikając prawym przyciskiem myszy witrynę FTP i wybierając Zatrzymaj, a następnie uruchom. Z wiersza poleceń można wpisać net stop msftpsvc, a następnie net start msftpsvc lub użyć iisreset, aby ponownie uruchomić wszystkie usługi IIS. Pamiętaj, że ponowne uruchomienie witryny FTP jest ostatecznością, ponieważ wszyscy użytkownicy aktualnie połączeni z witryną zostaną odłączeni.

implementacja izolacji użytkowników FTP

na koniec podsumujmy, jak zaimplementować nową funkcję izolacji użytkowników FTP w usługach IIS w systemie Windows Server 2003. Gdy witryna FTP korzysta z tej funkcji, każdy użytkownik uzyskujący dostęp do witryny ma katalog domowy FTP, który jest podkatalogiem w katalogu głównym witryny FTP, a z perspektywy użytkownika jego katalog domowy FTP wydaje się być folderem najwyższego poziomu witryny. Oznacza to, że użytkownicy nie mogą przeglądać plików w katalogach domowych FTP innych użytkowników, co ma tę zaletę, że zapewnia bezpieczeństwo dla plików każdego użytkownika.

stwórzmy nową stronę FTP o nazwie Staff, która korzysta z tej nowej funkcji, używając C:\Staff foldery jako katalog główny dla witryny i 172.16.11.212 dla adresu IP witryny. Uruchom Kreator tworzenia witryny FTP tak jak poprzednio i przejdź przez niego, aż dojdziesz do strony izolacji użytkownika FTP i wybierz opcję Izoluj użytkowników na tej stronie:

kontynuuj korzystanie z kreatora i upewnij się, że użytkownicy mają zarówno uprawnienia do odczytu, jak i zapisu, aby mogli przesyłać i pobierać pliki.

teraz powiedzmy, że masz dwóch użytkowników, Boba Smitha (bsmith) i Mary Jones (mjones), którzy mają konta w domenie, której nazwa przed Windows 2000 to TESTTWO. Aby dać tym użytkownikom katalogi domowe FTP na serwerze, najpierw Utwórz podfolder o nazwie \ TESTTWO pod folderami \ Staff (katalog główny FTP). Następnie utwórz podfoldery \ bsmith i \ mjones pod folderem \ Accounts. Struktura folderów powinna teraz wyglądać następująco:

C:\ Staff Folders
\TESTTWO
\bsmith
\ mjones

aby przetestować izolację użytkownika FTP, Załóżmy nazwę pliku dokumentu Boba.doc w podfolderze \ bsmith i dokument Mary.doc w podfolderze \ mjones. Teraz przejdź do pulpitu Windows XP i otwórz Internet Explorer i spróbuj otworzyć ftp://172.16.11.212, czyli adres URL strony FTP, którą właśnie stworzyliśmy. Gdy to zrobisz, pojawi się okno dialogowe uwierzytelniania, a jeśli jesteś Bobem, możesz wprowadzić swoją nazwę Użytkownika (za pomocą formularza domena\nazwa użytkownika) i hasło w ten sposób:

po kliknięciu przez Boba przycisku Log On wyświetlana jest zawartość jego katalogu domowego FTP:

należy pamiętać, że podczas tworzenia nowej witryny FTP przy użyciu izolacji użytkownika FTP nie można jej przekonwertować na zwykłą witrynę FTP (taką, która nie ma włączonej izolacji użytkownika FTP). Podobnie, zwykłej witryny FTP nie można przekonwertować na taką za pomocą izolacji użytkownika FTP.

nadal musimy zbadać jeszcze jedną opcję, a jest to trzecia opcja na stronie izolacji użytkownika FTP Kreatora tworzenia witryny FTP, a mianowicie izolowanie użytkowników korzystających z usługi Active Directory. Ponieważ skończyły nam się adresy IP, najpierw usuń stronę pomocy i wsparcia FTP, aby zwolnić 172.16.11.211. Jednym ze sposobów, w jaki możemy to zrobić, jest otwarcie wiersza polecenia i wpisanie iisftp /delete „Help and Support” przy użyciu iisftp.skrypt poleceń vbs. Następnie ponownie uruchom Kreatora tworzenia witryny FTP i wybierz trzecią opcję wspomnianą powyżej (nazwiemy to nowe zarządzanie witryną):

kliknij przycisk Dalej i wprowadź konto administratora w domenie, hasło do tego konta i pełną nazwę domeny:

kliknij przycisk Dalej, Potwierdź hasło i wypełnij kreator w zwykły sposób. Zauważysz, że nie poproszono Cię o podanie katalogu głównego dla nowej witryny FTP. Dzieje się tak dlatego, że gdy używasz tego podejścia, katalog domowy każdego użytkownika FTP jest zdefiniowany przez dwie zmienne środowiskowe: %ftproot%, który definiuje katalog główny i może być w dowolnym miejscu, włączając ścieżkę UNC do udziału sieciowego na innym komputerze, takim jak \\test220\docs, i %ftpdir%, które można ustawić na %username%, tak że na przykład katalog domowy FTP Boba Smitha byłby \\test220\docs\bsmith i ten folder musiałby zostać utworzony wcześniej dla niego. Możesz ustawić te zmienne środowiskowe za pomocą skryptu logowania i przypisać skrypt za pomocą zasad grupy, ale to wykracza poza zakres niniejszego artykułu.

podsumowanie

w tym artykule wyjaśniłem, jak tworzyć i konfigurować witryny FTP na różne sposoby w IIS 6. Z wyjątkiem izolacji użytkowników FTP, wszystko, co omówiliśmy tutaj, dotyczy również usług IIS 5 w systemie Windows 2000. Jeśli chcesz dowiedzieć się więcej o IIS 6 i jego możliwościach, zobacz moją książkę Administracja IIS 6 (Osborne/McGraw-Hill).