Настройка IIS для размещения FTP-сайта (часть 4)

Опубликовано: 22 Марта, 2023

Введение

До сих пор в этой серии я показывал вам, как создать FTP-сайт, к которому пользователи могут получить доступ через безопасный сеанс SSL. Однако SSL-шифрование — это еще не все. Без надлежащих механизмов авторизации анонимные пользователи все еще могут получить доступ к вашему FTP-сайту. В этой статье я хочу завершить серию рассказом об авторизации применительно к FTP-сайтам в IIS 7.0.

Аутентификация

Вы не можете выполнить какую-либо авторизацию, если вы также не выполняете аутентификацию.

Откройте диспетчер информационных служб Интернета (IIS) и перейдите в дереве консоли к <ваш сервер> | Сайты | <ваш FTP-сайт>. Затем дважды щелкните значок FTP-аутентификации, расположенный в средней панели консоли. Как видно на рисунке A, у вас есть выбор: включить анонимную аутентификацию или базовую аутентификацию. Для наших целей нам нужно включить обычную аутентификацию. Поэтому щелкните правой кнопкой мыши параметр «Базовая аутентификация», а затем выберите параметр «Включить» в контекстном меню.

Изображение 20056
Рисунок A: Вы должны включить обычную аутентификацию

Авторизация

Аутентификация устанавливает личность пользователя, но теперь нам нужно предпринять некоторые шаги, чтобы определить, будет ли пользователю разрешен доступ к сайту FTP. Если пользователю разрешен доступ к сайту, то авторизация определяет, разрешено ли пользователю выполнять действие, которое он пытается выполнить.

Существует несколько различных форм авторизации, которые поддерживаются для FTP-сайтов. Вы можете выполнить авторизацию по домену и IP-адресу или по имени пользователя и группы.

Ограничения по адресам и доменным именам

Ограничения адресов и доменных имен обычно используются, когда пользователи заходят на сайт анонимно, но их можно использовать в сочетании с базовой проверкой подлинности для обеспечения дополнительной степени безопасности. Добавить ограничение по домену или IP-адресу очень просто. Выбрав FTP-узел, дважды щелкните значок FTP IPv4 Address and Domain Restrictions, расположенный в центральной колонке.

Когда консоль переключится на представление функций, щелкните правой кнопкой мыши пустую область в центральной панели, а затем выберите в контекстном меню параметр «Добавить разрешающую запись» или «Добавить запрещенную запись». Оба варианта работают одинаково, но один предоставит доступ к указанному адресу или домену, а другой заблокирует доступ.

При появлении запроса просто введите IP-адрес или доменное имя, на котором вы хотите основывать правило. Как видно на рисунке B, у вас есть возможность указать либо один IP-адрес, либо весь диапазон IP-адресов.

Изображение 20057
Рисунок B. Вы можете создать правило авторизации на основе IP-адресов или доменных имен.

Глядя на рисунок выше, вы можете заметить, что здесь нет поля для указания имени домена. Причина этого в том, что правила ограничения доменных имен создают огромную нагрузку на сервер, поскольку каждое соединение требует обратного просмотра DNS, чтобы определить доменное имя, связанное с IP-адресом. Поэтому Microsoft по умолчанию скрывает параметр имени домена.

Если вы хотите включить правила для доменных имен, щелкните правой кнопкой мыши пустую область панели «Просмотр функций» и выберите команду «Редактировать настройки функций» в контекстном меню. Это приведет к тому, что Windows отобразит диалоговое окно, которое позволит вам установить поведение по умолчанию для неуказанных подключений: «Разрешить» или «Запретить». Однако помимо управления поведением FTP-сервера по умолчанию, диалоговое окно также содержит флажок, который можно использовать для включения ограничений доменного имени, как показано на рисунке C.

Изображение 20058
Рисунок C: Вы можете использовать диалоговое окно «Редактировать IPv4-адреса и настройки ограничения домена», чтобы включить ограничения имени домена.

Правила авторизации FTP

Обычно, если вы собираетесь выполнять базовую аутентификацию на FTP-соединениях, вы будете использовать правила авторизации FTP, чтобы контролировать, кто и что может делать. Вы можете получить доступ к правилам авторизации FTP, выбрав свой FTP-сайт в консоли диспетчера IIS, а затем дважды щелкнув значок «Правила авторизации FTP», расположенный в средней панели консоли.

Как только консоль переключится в представление «Функции», вы можете создать правило авторизации FTP, щелкнув правой кнопкой мыши пустую область средней панели консоли, а затем выбрав команду «Добавить разрешающее правило» или «Добавить запрещающее правило» в контекстном меню.

Установить правило довольно просто. Если вы посмотрите на рисунок D, то увидите, что правило в основном состоит только из пользователя или группы, к которым применяется правило, и разрешения. Например, правило можно применить ко всем пользователям, всем анонимным пользователям, указанным группам пользователей (таким как администраторы, пользователи или гости) или к определенным пользователям.

Изображение 20059
Рисунок D. Необходимо указать пользователя или группу пользователей, а затем указать разрешение

Хотя консоль позволяет это сделать, я рекомендую никогда не применять правила к отдельным пользователям. В противном случае управление разрешениями может превратиться в логистический кошмар. Всегда лучше либо указать группу, либо использовать один из других доступных вариантов.

Установка разрешения не может быть проще. Все, что вам нужно сделать, это выбрать; флажок «Чтение», флажок «Запись» или оба. Одна вещь, которую вы должны иметь в виду, это то, что это разрешения уровня IIS. Почти всегда будут разрешения NTFS, которые применяются к папке, которую использует FTP-сайт. Вы должны убедиться, что разрешений NTFS достаточно, чтобы разрешить указанным пользователям доступ к сайту FTP, иначе разрешения, которые вы устанавливаете через IIS, не будут иметь значения.

Просмотр каталога

Хотя это кажется немного странным (по крайней мере, мне так кажется), вы не можете использовать правила авторизации для управления просмотром каталогов. Для этого вам нужно будет выбрать свой FTP-сайт в консоли диспетчера IIS, а затем дважды щелкнуть значок просмотра каталога FTP, расположенный в средней колонке консоли.

Как вы можете видеть на рисунке E, вы можете отобразить список каталогов либо в стиле MS-DOS, либо в стиле UNIX. Однако нет возможности отключить просмотр каталогов. Если вы хотите отключить просмотр каталогов, убедитесь, что вы не назначаете пользователям разрешение на чтение при создании правила авторизации.

Изображение 20060
Рисунок E: Вы можете настроить просмотр каталогов для FTP-сайта, чтобы сервер выглядел как сервер DOS (Windows) или сервер UNIX.

В дополнение к управлению стилем каталога у вас также есть возможность отображать виртуальные каталоги, количество доступных байтов в каталоге и четыре цифры года, установив соответствующие флажки.

Вывод

Как видите, настроить FTP-сайт в IIS 7.0 довольно просто. Главное, что вам нужно помнить, это то, что шифрование SSL не заменяет аутентификацию и авторизацию, и что разрешения, которые вы устанавливаете через консоль IIS, не переопределяют разрешения NTFS.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023