• Articles
• admin

Em um artigo anterior vimos que o Internet Information Services 6 (IIS 6) é uma poderosa plataforma para a construção e hospedagem de web sites para a Internet e intranets corporativas. IIS 6 também é igualmente útil para configurar sites FTP para uso público ou Corporativo, e neste artigo vamos percorrer o processo de criação e configuração de sites FTP usando tanto a GUI (IIS Manager) e scripts incluídos no Windows Server 2003. As tarefas específicas que vamos percorrer neste artigo são:

• Criar um Site FTP
• Controlar o Acesso a um Site FTP
• Configurar FTP de login do Site
• Parando e Iniciando Sites FTP
• Implementação de Isolamento de Usuário de FTP

Para fins de interesse, nós”ll novamente explicar essas tarefas no contexto de uma empresa fictícia chamada TestCorp como ele implanta sites FTP para tanto a sua intranet corporativa e para usuários anônimos na Internet.

Etapas Preliminares

Como mencionado no artigo anterior, o IIS não é instalado por padrão durante uma instalação padrão do Windows Server 2003, e se você instalou o IIS usando Gerenciar O Servidor, conforme descrito no artigo anterior desta instala o serviço da web, mas não o serviço de FTP. Portanto, antes de podermos criar sites FTP, primeiro precisamos instalar o serviço FTP em nossa máquina IIS. Para fazer isso, precisamos adicionar um componente adicional à função de servidor de aplicativos que atribuímos à nossa máquina quando usamos gerenciar seu servidor para instalar o IIS.

comece abrindo Adicionar ou Remover Programas no painel de controle e selecionando Adicionar/Remover Componentes do Windows. Em seguida, marque a caixa de seleção Servidor de Aplicação:

Clique em Detalhes e selecione a caixa de verificação Serviços de Informação Internet (IIS):

Clique em Detalhes e marque a caixa de seleção Protocolo de Transferência de Arquivo (FTP) de Serviços.

clique em OK duas vezes e, em seguida, ao lado de instalar o serviço FTP. Durante a instalação, você precisará inserir seu CD de Produto do Windows Server 2003 ou navegar até um ponto de distribuição de rede onde os arquivos de configuração do Windows Server 2003 estão localizados. Clique em Concluir quando o assistente estiver concluído.

a Criação de um Site de FTP

Como com web sites, a abordagem mais simples para a identificação de cada site de FTP na máquina a atribuir a cada um deles um endereço IP separado, então vamos dizer que o nosso servidor tem três endereços IP (172.16.11.210, 172.16.11.211 e 172.16.11.212) a ele atribuído. Nossa primeira tarefa será criar um novo site FTP para o Departamento de recursos humanos, mas antes de fazer isso vamos primeiro examinar o site FTP padrão que foi criado quando instalamos o serviço FTP em nossa máquina. Abra o Gerenciador do IIS em Ferramentas Administrativas, selecione FTP Sites na árvore de console e clique com o botão direito do mouse no Site FTP Padrão e selecione Propriedades:

assim como o Site da Web Padrão, o endereço IP do Site FTP Padrão é definida para Todos os não Atribuídos. Isso significa que qualquer endereço IP não expressamente atribuídos a outro site FTP na máquina abre o Site FTP Padrão em vez disso, por isso agora a abertura de um ftp://172.16.11.210, ftp://172.16.11.211 ou ftp://172.16.11.212 no Internet Explorer para exibir o conteúdo do Site FTP Padrão.

vamos atribuir o endereço IP 172.16.11.210 para o site FTP de Recursos Humanos e fazer D:\HR a pasta onde seu conteúdo está localizado. Para criar o novo site FTP, clique com o botão direito do mouse no nó sites FTP e selecione Novo –> site FTP. Isso inicia o Assistente de criação de site FTP. Clique em Avançar e digite uma descrição para o site:

Clique em Seguinte e especifique 172.16.11.210 como o endereço IP para o novo site:

Clique em Avançar e selecione não isolar os usuários, uma vez que este vai ser um site em que qualquer pessoa (incluindo visitantes) estará livre para acesso:

Clique em Avançar e especificar C:\HR como o local do diretório raiz do site:

Clique em Avançar e deixar as permissões de acesso definidas em só de Leitura como este site será apenas utilizado para o download de formulários para as presentes e futuros empregados:

clique em Avançar e em Concluir para concluir o assistente. Os novos Recursos Humanos local de FTP pode ser visto agora no Gerenciador do IIS sob o nó de Sites FTP:

Para visualizar o conteúdo deste site, vá para uma área de trabalho Windows XP na mesma rede e abrir o URL ftp://172.16.11.210 usando o Internet Explorer:

Observe na barra de status na parte inferior da janela do internet explorer que você está conectado como um usuário anônimo. Para visualizar todos os usuários atualmente conectados ao site FTP de Recursos Humanos, clique com o botão direito do mouse no site no Internet Service Manager e selecione Propriedades e, na guia Site FTP, clique no botão sessões atuais para abrir a caixa de diálogo sessões do usuário FTP:

observe que os usuários anônimos que usam o IE são exibidos como ieuser @ em usuários conectados.

agora vamos criar outro site FTP usando um script em vez da GUI. Vamos criar um site chamado ajuda e suporte Com diretório raiz C:\Support e endereço IP 172.16.11.211:

Aqui está o resultado da execução do script:

O script usado aqui é Iisftp.vbs, que como Iisweb.vbs e Iisvdir.o vbs que discutimos no artigo anterior é um dos vários scripts de administração do IIS disponíveis quando você instala o IIS no Windows Server 2003. Uma sintaxe completa para este script pode ser encontrada aqui. Depois de criar um novo site FTP usando este script, você pode configurar ainda mais o site usando o Gerenciador do IIS da maneira usual.

Nota: Neste ponto, você pode adicionar estrutura ao seu site FTP criando diretórios virtuais, e isso é feito da mesma maneira que foi descrita no artigo anterior para trabalhar com sites.

controlando o acesso a um site FTP

assim como para sites, existem quatro maneiras de controlar o acesso a sites FTP no IIS: permissões NTFS, permissões IIS, restrições de endereço IP e método de autenticação. As permissões NTFS são sempre sua primeira linha de defesa, mas não podemos cobri-las em detalhes aqui. Permissões do IIS são especificados na guia Diretório base do site FTP da folha de propriedades:

Observe que as permissões de acesso para sites FTP são muito mais simples (Ler e Escrever) do que para sites da web, e por padrão, somente a permissão de Leitura é ativado, o que permite aos usuários fazer download de arquivos de seu site FTP. Se você permitir o acesso de gravação, os usuários poderão fazer upload de arquivos para o site também. E, claro, permissões de acesso e permissões NTFS combinam da mesma forma que fazem para sites da web.

como sites, as restrições de endereço IP podem ser usadas para permitir ou negar acesso ao seu site por clientes que possuem um endereço IP específico, um endereço IP em um intervalo de endereços ou um nome DNS específico. Essas restrições são configuradas na guia Segurança do Diretório, assim como são para sites da web, e isso foi abordado no artigo anterior, portanto, não as discutiremos mais aqui.

os sites FTP também têm menos opções de autenticação do que os sites da web, como pode ser visto selecionando a guia Contas de segurança:

por padrão, Permitir conexões anônimas é selecionado, e isso é bom para sites FTP públicos na Internet, mas para sites FTP privados em uma intranet corporativa, você pode desmarcar essa caixa de seleção para impedir o acesso anônimo ao seu site. Limpar esta caixa tem o resultado de que seu site FTP usa Autenticação Básica em vez disso, e os usuários que tentam acessar o site são apresentados com uma caixa de diálogo de autenticação:

observe que a Autenticação Básica passa as credenciais do usuário pela rede em texto claro, portanto, isso significa que os sites FTP são inerentemente inseguros (eles não suportam a autenticação integrada do Windows). Portanto, se você vai implantar um site FTP privado em sua rede interna, certifique-se de fechar as portas 20 e 21 em seu firewall para bloquear o tráfego FTP de entrada de usuários externos na Internet.

Configurar FTP de login do Site

Como com sites da web, o padrão de formato de registo para sites FTP é o Arquivo de Log Estendido W3C Formato e o local de FTP logs são armazenados em pastas com o nome

%SystemRoot%\system32\LogFiles\MSFTPSVCnnnnnnnnnn

onde reativa ilustrada é o número de IDENTIFICAÇÃO do local de FTP. E assim como nos sites, você pode usar o analisador de Log da Microsoft, parte das ferramentas do IIS 6.0 Resource Kit, para analisar esses logs de sites FTP.

parar e iniciar sites FTP

se um site FTP ficar indisponível, talvez seja necessário reiniciá-lo para que funcione novamente, o que você pode fazer usando o Gerenciador do IIS clicando com o botão direito do mouse no site FTP e selecionando parar e iniciar. Na linha de comando, você pode digitar net stop msftpsvc seguido por net start msftpsvc ou usar iisreset para reiniciar todos os Serviços IIS. Lembre-se de que reiniciar um site FTP é um último recurso, pois todos os usuários atualmente conectados ao site serão desconectados.

implementando o isolamento do usuário FTP

finalmente, vamos concluir observando como implementar o novo recurso de isolamento do usuário FTP do IIS no Windows Server 2003. Quando um site FTP usa esse recurso, cada usuário que acessa o site tem um diretório inicial FTP que é um subdiretório sob o diretório raiz do site FTP e, da perspectiva do usuário, seu diretório inicial FTP parece ser a pasta de nível superior do site. Isso significa que os usuários são impedidos de visualizar os arquivos nos diretórios home FTP de outros usuários, o que tem a vantagem de fornecer segurança para os arquivos de cada usuário.

Vamos criar um novo site FTP chamado Pessoal que faz uso deste novo recurso, usando C:\Staff Pastas como o diretório raiz para o site e 172.16.11.212 para o endereço IP do site. Inicie o Assistente de criação de site FTP como fizemos anteriormente e passe por ele até chegar à página de isolamento do usuário FTP e selecione a opção isolar usuários nesta página:

Continue com o assistente e certifique-se de dar aos usuários permissão de leitura e gravação para que eles possam fazer upload e download de arquivos.

agora digamos que você tenha dois usuários, Bob Smith (bsmith) e Mary Jones (mjones) que têm contas em um domínio cujo nome pré-Windows 2000 é TESTTWO. Para dar a esses usuários diretórios home FTP em seu servidor, Primeiro crie uma subpasta chamada \TESTTWO abaixo \staff Folders (seu diretório raiz FTP). Em seguida, crie subpastas \ bsmith e \ mjones abaixo da pasta \ Accounts. Sua estrutura de pastas agora deve ser assim:

C:\ Staff Folders
\ TESTTWO
\ bsmith
\ mjones

para testar o isolamento do usuário FTP vamos colocar um nome de arquivo documento de Bob.doc na subpasta \ bsmith e no documento de Mary.doc na subpasta \ mjones. Agora vá para uma área de trabalho do Windows XP e abra o Internet Explorer e tente abrir ftp://172.16.11.212, que é o URL do site FTP da equipe que acabamos de criar. Quando você faz isso, uma caixa de diálogo de autenticação aparece e, se você for Bob, pode inserir seu nome de usuário (usando o formulário DOMAIN\username) e uma senha como esta:

quando Bob clica no botão Log On, o conteúdo do diretório inicial do FTP é exibido:

observe que, ao criar um novo site FTP usando o FTP user Isolation, você não pode convertê-lo em um site FTP comum (um que não tenha o FTP user Isolation ativado). Da mesma forma, um site FTP comum não pode ser convertido em um usando o isolamento do usuário FTP.

ainda precisamos explorar mais uma opção e essa é a terceira opção na página de isolamento de usuário FTP do Assistente de criação de site FTP, ou seja, isolar usuários usando o Active Directory. Como ficamos sem endereços IP, vamos primeiro excluir a ajuda e oferecer suporte ao site FTP para liberar 172.16.11.211. Uma maneira de fazer isso é abrindo um prompt de comando e digitando iisftp /delete “ajuda e suporte” usando o iisftp.script de comando vbs. Em seguida, inicie o Assistente de criação de sites FTP novamente e selecione a terceira opção mencionada acima (nomearemos esse novo gerenciamento de sites):

clique em Avançar e insira uma conta de administrador no domínio, a senha dessa conta e o nome completo do domínio:

clique em Avançar e confirme a senha e conclua o Assistente da maneira usual. Você notará que não foi solicitado a especificar um diretório raiz para o novo site FTP. Isso ocorre porque quando você usa essa abordagem, o diretório inicial FTP de cada usuário é definido por duas variáveis de ambiente: %ftproot%, o que define o diretório raiz e pode ser em qualquer lugar, incluindo um caminho UNC para um compartilhamento de rede em outra máquina, como \\test220\docs e %ftpdir%, o que pode ser definido como %username%, de modo que, por exemplo, Bob Smith é o diretório base FTP seria \\test220\docs\bsmith e esta pasta teria de ser criadas de antemão por ele. Você pode definir essas variáveis de ambiente usando um script de logon e atribuir o script usando a Política de grupo, mas isso está além do escopo deste artigo.

resumo

neste artigo, expliquei como criar e configurar sites FTP de várias maneiras no IIS 6. Com exceção do isolamento do usuário FTP, tudo o que cobrimos aqui também se aplica ao IIS 5 no Windows 2000. Se você quiser saber mais sobre o IIS 6 e suas capacidades, consulte meu livro IIS 6 Administration (Osborne/McGraw-Hill).