Condividi tramite

Configurazione dell'isolamento utente FTP in IIS 7

di Robert McMurray

Compatibility

Versione Note
IIS 7.5 Il servizio FTP 7.5 viene fornito come funzionalità per IIS 7.5 in Windows 7 e Windows Server 2008 R2.
IIS 7.0 I servizi FTP 7.0 e FTP 7.5 sono stati spediti fuori banda per IIS 7.0, che richiedeva il download e l'installazione del servizio dall'URL seguente: https://www.iis.net/downloads/microsoft/ftp.

Introduzione

Microsoft ha creato un nuovo servizio FTP completamente riscritto per Windows Server 2008. Questo nuovo servizio FTP incorpora molte nuove funzionalità che consentono agli autori Web di pubblicare contenuti meglio di prima e offre agli amministratori Web più opzioni di sicurezza e distribuzione.

Questo documento illustra le varie impostazioni di isolamento utente FTP usando la nuova interfaccia utente FTP e modificando direttamente i file di configurazione IIS.

Annotazioni

Questa procedura dettagliata contiene una serie di passaggi in cui si accederà al sito FTP usando l'account amministratore locale. Questi passaggi devono essere eseguiti solo nel server stesso usando l'indirizzo di loopback o SSL tramite un server remoto. Se si preferisce usare un account utente separato anziché l'account amministratore, sarà necessario creare le cartelle appropriate e impostare le autorizzazioni corrette per tale account utente quando necessario.

Prerequisiti

Per completare le procedure descritte in questo articolo sono necessari gli elementi seguenti:

  1. IIS 7 deve essere installato nel server Windows Server 2008 RC0 e Internet Information Services Manager deve essere installato.

  2. È necessario installare il nuovo servizio FTP. È possibile scaricare e installare il servizio FTP dal https://www.iis.net/ sito Web usando uno dei collegamenti seguenti:

    • FTP per IIS 7 (x64)
    • FTP per IIS 7 (x86)

  3. Sarà necessario creare una cartella radice per la pubblicazione FTP:

    • Creare una cartella in %SystemDrive%\inetpub\ftproot

    • Impostare le autorizzazioni per consentire l'accesso anonimo:

      • Apri il prompt dei comandi.

      • Digitare il comando seguente:

        ICACLS "%SystemDrive%\inetpub\ftproot" /Grant IUSR:R /T

      • Chiudere il prompt dei comandi.

  4. Sarà necessario creare cartelle di contenuto aggiuntive:

    • Creare una cartella in %SystemDrive%\inetpub\ftproot\LocalUser\Public
    • Creare una cartella in %SystemDrive%\inetpub\adminfiles

Utilizzo della Creazione guidata del sito FTP per creare un sito FTP

In questa prima sezione verrà creato un nuovo sito FTP che può essere aperto per l'accesso in sola lettura da parte di utenti anonimi e accesso in lettura/scrittura dall'account amministratore.

  1. Nel riquadro Connessioni di Gestione IIS fare clic sul nodo Siti nell'albero.

  2. Come illustrato nell'immagine seguente, fare clic con il pulsante destro del mouse sul nodo Siti nell'albero e scegliere Aggiungi sito FTP oppure fare clic su Aggiungi sito FTP nel riquadro Azioni .
    Screenshot della schermata I I S Manager con un focus sull'opzione Aggiungi sito F T P nel menu a discesa del tasto destro sulla cartella Siti.

  3. Quando viene visualizzata la procedura guidata Aggiungi sito FTP :

    • Immettere "My New FTP Site" (Nuovo sito FTP) nella casella Nome sito FTP , quindi passare alla %SystemDrive%\inetpub\ftproot cartella creata nella sezione Prerequisiti. Si noti che se si sceglie di digitare il percorso della cartella del contenuto, è possibile usare le variabili di ambiente nei percorsi.
    • Dopo aver completato questi elementi, fare clic su Avanti.
      Screenshot della procedura guidata Aggiungi sito FTP, che mostra la sezione Informazioni sito.

  4. Nella pagina successiva della procedura guidata:

    • In genere si sceglie un indirizzo IP per il sito FTP dall'elenco a discesa Indirizzo IP oppure si può scegliere di accettare la selezione predefinita di "Tutti non assegnati". Poiché l'account amministratore verrà usato più avanti in questa procedura dettagliata, assicurarsi di limitare l'accesso al server e immettere l'indirizzo IP di loopback locale per il computer digitando "127.0.0.1" nella casella Indirizzo IP .
    • In genere si immette la porta TCP/IP per il sito FTP nella casella Porta . Per questa procedura dettagliata, accetterai la porta predefinita 21.
    • Per questo percorso, non si userà un nome host, quindi assicurarsi che la casella Host virtuale sia vuota.
    • Assicurarsi che l'elenco a discesa Certificati sia impostato su "Non selezionato" e che sia selezionata l'opzione Consenti SSL .
    • Dopo aver completato questi elementi, fare clic su Avanti.
      Screenshot della sezione Binding e S S L Settings della schermata Aggiungi sito F T P con il focus sull'opzione Avanti.

  5. Nella pagina successiva della procedura guidata:

    • Selezionare Anonimo per le impostazioni di autenticazione .
    • Per le impostazioni di autorizzazione, scegliere "Utenti anonimi" dall'elenco a discesa Consenti l'accesso a, e selezionare Lettura per l'opzione Autorizzazioni.
    • Dopo aver completato questi elementi, fare clic su Fine.
      Screenshot della sezione Autenticazione e autorizzazione della schermata Aggiungi sito FTP con il focus sull'opzione Fine.

  6. In Gestione IIS fare clic sul nodo per il sito FTP creato; verranno visualizzate le icone per tutte le funzionalità FTP.
    Screenshot della schermata di I I S Manager che mostra la sezione Home del mio nuovo sito F T P con le funzionalità F T P.

  7. È necessario aggiungere l'autenticazione di base in modo che gli utenti possano accedere. A tale scopo, fare doppio clic sull'icona Autenticazione FTP per aprire la pagina delle funzionalità di autenticazione FTP.
    Screenshot della schermata di Gestione servizi Internet (IIS) con l'attenzione posta sull'opzione F T P Authentication (Autenticazione F T P) nella sezione Home del Il mio nuovo sito F T P.

  8. Quando viene visualizzata la pagina Autenticazione FTP , evidenziare Autenticazione di base e quindi fare clic su Abilita nel riquadro Azioni .
    Screenshot della sezione FTP Authentication della schermata IIS Manager con lo stato attivo sull'opzione Abilita nel riquadro Azioni.

  9. In Gestione IIS fare clic sul nodo per il sito FTP per visualizzare nuovamente le icone per tutte le funzionalità FTP.

  10. È necessario aggiungere una regola di autorizzazione in modo che l'amministratore possa accedere. A tale scopo, fare doppio clic sull'icona Regole di autorizzazione FTP per aprire la pagina delle funzionalità regole di autorizzazione FTP.
    Screenshot dell'opzione FTP Authorization Rules nella schermata IIS Manager nella sezione FTP.

  11. Quando viene visualizzata la pagina Regole di autorizzazione FTP , fare clic su Aggiungi regola consenti nel riquadro Azioni .
    Screenshot della sezione Regole di autorizzazione F T P della schermata di Gestione servizi Internet con il focus su l'opzione Aggiungi regola consenti nel riquadro Azioni.

  12. Quando viene visualizzata la finestra di dialogo Aggiungi regola di autorizzazione consentita :

    • Selezionare Utenti specificati, quindi digitare "administrator" nella casella.
    • In Autorizzazioni selezionare sia Lettura che Scrittura.
    • Dopo aver completato questi elementi, fare clic su OK.
      Screenshot della finestra di dialogo Aggiungi regola di autorizzazione consentita.

Sommario

Per riepilogare gli elementi completati in questa sezione:

  1. È stato creato un nuovo sito FTP denominato "My New FTP Site", con la radice del contenuto del sito all'indirizzo %SystemDrive%\inetpub\ftproot.
  2. Hai associato il sito FTP all'indirizzo di loopback locale del tuo computer sulla porta 21 e abbiamo scelto di non utilizzare Secure Sockets Layer (SSL) per il sito FTP.
  3. È stata creata una regola predefinita per il sito FTP per consentire agli utenti anonimi di "Leggere" l'accesso ai file.
  4. È stata aggiunta una regola di autorizzazione che consente all'account amministratore sia le autorizzazioni "Lettura" che "Scrittura" per il sito FTP.
  5. È stata aggiunta l'autenticazione di base al sito FTP.

Esame delle nuove impostazioni di isolamento utente FTP

  1. In Gestione IIS fare clic sul nodo per il sito FTP creato; verranno visualizzate le icone per tutte le funzionalità FTP.

  2. Fare doppio clic sull'icona Ftp User Isolation (Isolamento utente FTP ) per aprire la funzionalità di isolamento utente FTP.
    Screenshot della sezione Home di My New F T P Site della schermata I I S Manager con l'attenzione sull'opzione F T P User Isolation.

  3. Quando viene visualizzata la pagina della funzionalità Isolamento utente FTP , si noti che sono disponibili cinque opzioni diverse:
    Screenshot della schermata della funzionalità Isolamento utente FTP di Gestione IIS.

  4. Queste cinque opzioni sono definite come:

    • Non isolare gli utenti. Avvia gli utenti in:

      • Directory radice FTP

        • Questa opzione specifica che tutte le sessioni FTP verranno avviate nella directory radice per il sito FTP.

          Annotazioni

          Questa opzione è una novità di questo server FTP e disabilita semplicemente l'isolamento dell'utente o la logica della cartella iniziale.

      • Directory nome utente

        • Questa opzione specifica che tutte le sessioni FTP verranno avviate nella directory fisica o virtuale con lo stesso nome dell'utente attualmente connesso se la cartella esiste; in caso contrario, la sessione FTP verrà avviata nella directory radice per il sito FTP.

          Annotazioni

          Questa opzione equivale a non scegliere alcun isolamento utente nel server FTP IIS 6.0. Per ulteriori informazioni sull'uso di questa opzione, consultare la sezione "Modalità Non Isolare Utenti" nell'argomento Hosting di più siti FTP con isolamento utente FTP (IIS 6.0).

    • Isolare gli utenti. Restringere gli utenti alla cartella seguente:

      • Directory dei nomi utente (disabilita le directory virtuali globali)

        • Questa opzione specifica che si desidera isolare le sessioni utente FTP nella directory fisica o virtuale con lo stesso nome dell'account utente FTP. L'utente vede solo il percorso radice FTP ed è pertanto limitato dall'esplorazione verso l'alto dell'albero di directory fisico o virtuale. Tutte le directory virtuali globali create verranno ignorate.

          Annotazioni

          Questa opzione è una novità di questo server FTP.

      • Directory fisica dell'utente (abilita le directory virtuali globali)

        • Questa opzione specifica che si desidera isolare le sessioni utente FTP nella directory fisica con lo stesso nome dell'account utente FTP. L'utente vede solo il percorso radice FTP ed è pertanto limitato dall'esplorazione superiore dell'albero della directory fisica. Tutte le directory virtuali globali create verranno applicate a tutti gli utenti.

          Annotazioni

          Questa opzione equivale a scegliere l'isolamento dell'utente nel server FTP IIS 6.0.

      • Home directory FTP configurata in Active Directory

        • Questa opzione specifica che si desidera isolare le sessioni utente FTP nella home directory configurata nelle impostazioni dell'account Active Directory per ogni utente FTP.

          Annotazioni

          Questa opzione equivale a scegliere l'isolamento utente di Active Directory nel server FTP IIS 6.0.

Configurazione delle impostazioni di isolamento utente in base alle directory fisiche

Quando si isolano gli utenti solo da directory fisiche, tutte le sessioni utente FTP sono limitate alla directory fisica con lo stesso nome dell'account utente FTP. Tuttavia, tutte le directory virtuali globali create verranno applicate a tutti gli utenti.

  1. In Gestione IIS fare clic sul nodo per il sito FTP creato; verranno visualizzate le icone per tutte le funzionalità FTP.
  2. Fare doppio clic sull'icona Ftp User Isolation (Isolamento utente FTP ) per aprire la funzionalità di isolamento utente FTP.
    Screenshot della schermata di I I S Manager nella sezione Home di My New F T P Site con l'icona F T P User Isolation evidenziata.
  3. Quando viene visualizzata la pagina della funzionalità Isolamento utente FTP, selezionare l'opzione Directory fisica dell'utente (abilita directory virtuali globali), quindi fare clic su Applica nel riquadro Azioni.
    Screenshot della sezione Isolamento utente F T P della schermata di gestione I I S, con l'opzione Applica evidenziata.

Accesso al sito FTP

È ora possibile accedere al sito FTP usando l'isolamento utente, ma si applicano le informazioni seguenti:

  1. Se si accede al sito FTP in modo anonimo, la sessione sarà limitata alla cartella "LocalUser\Public" creata nella sezione Prerequisiti.
  2. Se si tenta di accedere al sito FTP usando l'account amministratore, la richiesta di accesso verrà negata perché l'account amministratore non dispone di una home directory definita. Per consentire all'account amministratore di accedere, è necessario creare una home directory per l'account amministratore all'indirizzo %SystemDrive%\inetpub\ftproot\LocalUser\Administrator. Dopo di che, se è stato eseguito l'accesso al sito FTP usando l'account amministratore, la sessione sarà limitata alla cartella "LocalUser\Administrator" appena creata.

Sommario

Per riepilogare gli elementi completati in questo passaggio, è stato configurato l'isolamento utente FTP usando l'opzione nome utente directory fisica (abilita directory virtuali globali). Quando si usa questa modalità di isolamento utente, tutte le sessioni utente FTP sono limitate alla directory fisica con lo stesso nome dell'account utente FTP e tutte le directory virtuali globali create verranno applicate a tutti gli utenti.

Per creare le home directory per ogni utente, è prima necessario creare una directory fisica nella cartella radice del server FTP denominata in base al dominio o denominata LocalUser per gli account utente locali. Successivamente, è necessario creare una directory fisica per ogni account utente che accederà al sito FTP. La tabella seguente elenca la sintassi della home directory per i provider di autenticazione forniti con il servizio FTP:

Tipi di account utente Sintassi della home directory fisica
Utenti anonimi %FtpRoot%\LocalUser\Public
Account utente di Windows locali (richiede l'autenticazione di base) %FtpRoot%\LocalUser\%UserName%
Account di dominio di Windows (richiede l'autenticazione di base) %FtpRoot%\%UserDomain%\%UserName%
Gestione di IIS o account utente di autenticazione personalizzata di ASP.NET %FtpRoot%\LocalUser\%UserName%

Annotazioni

Nella tabella precedente, %FtpRoot% è la directory principale per il tuo sito FTP; ad esempio, C:\Inetpub\Ftproot.

Nota importante: le directory virtuali globali sono abilitate; Tutte le directory virtuali configurate a livello radice del sito FTP possono essere accessibili da tutti gli utenti FTP, purché dispongano di autorizzazioni sufficienti.

Configurazione delle impostazioni di isolamento utente per tutte le directory

Quando si isolano gli utenti per tutte le directory, tutte le sessioni utente FTP sono limitate alla directory fisica o virtuale con lo stesso nome dell'account utente FTP. Inoltre, tutte le directory virtuali globali create verranno ignorate. In questo passaggio si configurerà l'isolamento utente per tutte le directory e si aggiungerà una directory virtuale per l'utente amministratore.

  1. In Gestione IIS fare clic sul nodo per il sito FTP creato; verranno visualizzate le icone per tutte le funzionalità FTP.

  2. Fare doppio clic sull'icona Ftp User Isolation (Isolamento utente FTP ) per aprire la funzionalità di isolamento utente FTP.
    Screenshot della schermata del Gestore di IIS nella sezione

  3. Quando viene visualizzata la pagina della funzionalità Isolamento utente FTP , selezionare l'opzione Directory nome utente (disabilita directory virtuali globali), quindi fare clic su Applica nel riquadro Azioni .
    Screenshot della sezione Isolamento utente F T P della schermata del gestore IIS con l'opzione Nome utente (disabilita directory virtuali globali) selezionata.

  4. Espandere il nodo dell'albero per il sito FTP, quindi fare clic con il pulsante destro del mouse sulla cartella LocalUser e scegliere Aggiungi directory virtuale.

    Annotazioni

    In questo esempio la cartella "LocalUser" è una directory fisica, ma potrebbe essere stata usata anche una directory virtuale.

    Screenshot del riquadro Connessioni della schermata di IIS Manager con il focus sull'opzione Aggiungi directory virtuale nel menu a discesa del click destro.

  5. Quando viene visualizzata la finestra di dialogo Aggiungi directory virtuale :

    • Immettere "administrator" per Alias.
    • Immettere %SystemDrive%\inetpub\adminfiles per il percorso fisico.
    • Dopo aver completato questi elementi, fare clic su OK.
      Screenshot della finestra di dialogo Aggiungi directory virtuale.

Accesso al sito FTP

È ora possibile accedere al sito FTP usando l'isolamento utente, ma si applicano le informazioni seguenti:

  1. Come nel passaggio 3, se si accede al sito FTP in modo anonimo, la sessione sarà limitata alla cartella "LocalUser\Public" creata nella sezione Prerequisiti.
  2. Se si accede al sito FTP usando l'account amministratore, la sessione sarà limitata alla directory virtuale "/LocalUser/administrator" appena creata.

Sommario

Per riepilogare gli elementi completati in questo passaggio, è stato configurato l'isolamento utente FTP usando l'opzione Nome utente (disabilita directory virtuali globali). Quando si usa questa modalità di isolamento utente, tutte le sessioni utente FTP sono limitate alla directory virtuale o fisica con lo stesso nome dell'account utente FTP e tutte le directory virtuali globali create verranno ignorate.

Per creare le home directory per ogni utente, è prima necessario creare una directory virtuale o fisica nella cartella radice del server FTP denominata in base al dominio o al nome LocalUser per gli account utente locali. Successivamente, è necessario creare una directory virtuale o fisica per ogni account utente che accederà al sito FTP. La tabella seguente elenca la sintassi della home directory per i provider di autenticazione forniti con il servizio FTP:

Tipi di account utente Sintassi della home directory fisica
Utenti anonimi %FtpRoot%\LocalUser\Public
Account utente di Windows locali (richiede l'autenticazione di base) %FtpRoot%\LocalUser\%UserName%
Account di dominio di Windows (richiede l'autenticazione di base) %FtpRoot%\%UserDomain%\%UserName%
Gestione di IIS o account utente di autenticazione personalizzata di ASP.NET %FtpRoot%\LocalUser\%UserName%

Annotazioni

Nella tabella precedente, %FtpRoot% è la directory principale per il tuo sito FTP; ad esempio, C:\Inetpub\Ftproot.

Le directory virtuali globali vengono ignorate; Non è possibile accedere a tutte le directory virtuali configurate a livello radice del sito FTP da parte di utenti FTP. Tutte le directory virtuali devono essere definite in modo esplicito nel percorso della home directory fisica o virtuale di un utente.

  • Last updated on