Din cauza posibilității de izolare, utilizatorii pot lucra numai cu propriile directoare și nu pot merge mai sus în arborele de directoare FTP. directorul de nivel superior al utilizatorului este afișat pentru acesta ca rădăcină a serviciului FTP. În acest fel, puteți împiedica utilizatorii să acceseze datele altor persoane pe serverul FTP. Izolarea utilizatorilor FTP este folosită pe scară largă de furnizorii ISP / ASP, când trebuie să oferiți acces individual la utilizatori diferiți la o singură fișă de fișiere.
Puteți instala serviciul FTP prin consola Server Manager verificând opțiunile FTP Service și FTP Extensibility din secțiunea Web Server (IIS) -> FTServer.
De asemenea, puteți instala rolul serverului FTP cu aceeași comandă Powershell:
Creați un site FTP, porniți utilizatorii, configurați drepturi
Deschideți consola de administrare a Serviciului de Informații Internet (IIS).
Și să creați un nou site FTP (Site-> AddFTPSite).
Numele site-ului FTP: MyTestSite
Adresă rădăcină a site-ului FTP: C: \ inetpub \ ftproot
Pentru a proteja datele transmise, este posibilă configurarea SSL (în acest caz toate datele transmise prin rețea și parolele / conturile ftp-utilizator vor fi criptate), dar acest lucru nu este necesar în demonstrația noastră. Toate celelalte setări sunt lăsate standard.
Vom selecta site-ul nostru FTP și vom dezactiva autentificarea anonimă în secțiunea FTPAuthentication. Autentificarea de bază trebuie să fie activată.
Să creați utilizatori FTP, de exemplu, aceștia vor fi ftp_user1, ftp_user2 și ftp_user3 conturi. Creați, de asemenea, un grup ftp_users. în care vom include acești utilizatori. Puteți crea utilizatori în secțiunea Utilizatori și grupuri locale din consola Computer Management.
Sau din linia de comandă:
În mod similar, vom crea încă doi utilizatori.
Să dăm grupului creat drepturi ftp_users (RW) la directorul C: \ inetpub \ ftproot.
În directorul C: \ inetpub \ ftproot, creăm un director numit LocalUser (numele trebuie să se potrivească complet, acest lucru este important.). Apoi, în C: \ inetpub \ ftproot \ LocalUser creăm trei directoare cu numele utilizatorilor creați de noi: ftp_user1, ftp_user2, ftp_user3.
Notă. În funcție de tipul conturilor, trebuie să creați următoarele structuri de directoare (pentru% FtpRoot% \ se presupune rădăcina site-ului FTP, în cazul nostru este vorba despre C: \ inetpub \ ftproot \):
Tipul contului
Sintaxa pentru denumirea directoarelor de acasă
Să revenim la consola IIS și să creăm o nouă regulă în secțiunea Reguli FTPAutorizare (Add AllowRules), care indică faptul că grupul ftp_users trebuie să aibă permisiuni de citire și scriere (permisiuni de citire și scriere).
Acum, să configuram izolarea utilizatorilor FTP. Izolarea FTP a utilizatorului este configurată la nivel de site FTP, nu pe întregul server.
În setările site-ului FTP, deschideți Izolarea utilizatorilor FTP.
Există mai multe setări în această secțiune. Primele două nu implică izolarea utilizatorilor:
- Directorul rădăcină FTP (sesiunea ftp a utilizatorului începe cu directorul rădăcină al site-ului ftp)
- Numele directorului de utilizatori (utilizatorul începe să lucreze cu directorul fizic / virtual cu numele utilizatorului.În cazul în care directorul nu este prezent, sesiunea începe cu directorul rădăcină al site-ului ftp)
Următoarele 3 opțiuni reprezintă diferite moduri de izolare a utilizatorilor:
- Numele directorului de nume de utilizator (dezactivarea adreselor virtuale globale) - presupune că sesiunea ftp a utilizatorului este izolată de un director fizic sau virtual al cărui nume se potrivește cu numele de utilizator ftp. Utilizatorii nu văd decât propriul lor director (pentru ei este directorul rădăcină) și nu pot trece dincolo de acesta (în directorul părinte al arborelui FTP). Toate directoarele virtuale globale sunt ignorate.
- Numele directorului fizic al numelui de utilizator (permite directoarelor globale virtuale) - se presupune că sesiunea FTP a utilizatorului este restrânsă (izolată) de directorul fizic cu numele contului de utilizator FTP. Utilizatorul nu poate merge deasupra directorului său pe structura FTP. Cu toate acestea, toate directoarele virtuale globale create sunt disponibile utilizatorului.
- FTP director de domiciliu configurat în Active Directory - Utilizatorul FTP este izolat în directorul de domiciliu specificat în setările contului său Active Directory (proprietăți FTPRoot și FTPDir)
Este important. Dacă directoarele globale virtuale sunt active, toți utilizatorii pot accesa toate directoarele virtuale configurate în rădăcina site-ului FTP (cu permisiunile NTFS corespunzătoare).
Specificați numele de utilizator și parola
Și vom avea acces la directorul de acasă cu datele utilizatorului (care este rădăcina site-ului FTP pentru utilizator). După cum vedem, sesiunea utilizatorului este izolată și utilizatorul vede numai datele sale.
Consiliul. Dacă este conectat un site FTP anonim, sesiunea va fi limitată la directorul LocalUser \ Public (desigur, directorul public trebuie să fie creat în prealabil).
Sunt conturile de utilizator locale sau pe domenii?
Din punct de vedere tehnic, utilizatorii înșiși și directoarele lor pot fi create printr-un script simplu pe Powershell, care la intrare ia un fișier csv cu numele de utilizator și parola. Scriptul ar trebui să creeze un cont de utilizator cu parola specificată și un director cu numele de utilizator.
Este puțin probabil ca Hyper-V să intervină în acest lucru, cu excepția cazului în care există anumite reguli pentru redirecționarea fluxului de intrare FTP la unele VM-uri pe Hyper-V.
Verificați conexiunea cu mâinile sau cu clientul? Se pot verifica din nou setările clientului?