微软的东西太多了!以至于我们爱好IT的人老是跟在它后面转。我一朋友在研究微软FTP时,就碰到许多问题,但是他和我们许多人一样不怕错误,坚持付出。终于对微软FTP有点眉目时,让他发难的还是域隔离用户的FTP搭建。作为IT爱好者、他的哥们不能不帮,我查阅微软帮助文档、搜集网络上的资料后,终于将他的问题顺利解决。那么今天我就将我所了解的FTP发布出来,当然重点还是在域隔离用户的FTP搭建这一块,希望能帮助想我哥们一样的广大网络爱好者!!
FTP 用户隔离为 Internet 服务提供商 (ISP) 和应用服务提供商提供了解决方案,使他们可以为客户提供上载文件和 Web 内容的个人 FTP 目录。FTP 用户隔离通过将用户限制在自己的目录中,来防止用户查看或覆盖其他用户的 Web 内容。因为顶层目录就是 FTP 服务的根目录,用户无法浏览目录树的上一层。在特定的站点内,用户能创建、修改或删除文件和文件夹。FTP 用户隔离是站点属性,而不是服务器属性。无法为每个 FTP 站点启动或关闭该属性。
FTP 用户隔离支持三种隔离模式。每一种模式都会启动不同的隔离和验证等级。
(1)不隔离用户:
该模式不启用 FTP 用户隔离。该模式的工作方式与以前版本的 IIS 类似。由于在登录到 FTP 站点的不同用户间的隔离尚未实施,该模式最适合于只提供共享内容下载功能的站点或不需要在用户间进行数据访问保护的站点。
(2)隔离用户 :
该模式在用户访问与其用户名匹配的主目录前,根据本机或域帐户验证用户。所有用户的主目录都在单一 FTP 主目录下,每个用户均被安放和限制在自己的主目录中。不允许用户浏览自己主目录外的内容。如果用户需要访问特定的共享文件夹,您可以再建立一个虚拟根目录。该模式不使用 Active Directory 目录服务进行验证。这里注意为隔离用户创建的目录的架构为:主文件夹----localuser----用户名;并在所有文件属性里去掉USER用户添加需访问的用户名,然后还必须在localuser里创建一个目录名字为public,并在FTP站点创建时浏览到主文件夹。
(3)用 Active Directory 隔离用户 :
该模式根据相应的 Active Directory 容器验证用户凭据,而不是搜索整个 Active Directory,那样做需要大量的处理时间。将为每个客户指定特定的 FTP 服务器实例,以确保数据完整性及隔离性。当用户对象在 Active Directory 容器内时,可以将 FTPRoot 和 FTPDir 属性提取出来,为用户主目录提供完整路径。如果 FTP 服务能成功地访问该路径,则用户被放在代表 FTP 根位置的该主目录中。用户只能看见自己的 FTP 根位置,因此受限制而无法向上浏览目录树。如果 FTPRoot 或 FTPDir 属性不存在,或它们无法共同构成有效、可访问的路径,用户将无法访问。
其中不隔离用户、隔离用户的搭建十分简单,相信很多网友都会吧,所以我就在这里详细的把接下来我们就来具体的把用 Active Directory 隔离用户的搭建方法做一解说。
实验拓扑:
下载 (10.31 KB)
2009-5-27 15:17
操作系统平台:
DC/FTP Server: Windows Server 2003并运行带有 Internet 信息服务 (IIS) 6.0 的FTP 站点geli。
客户端:Windows XP
域名:benet.cn
实验步骤:
(1) 在C:\Inetpub\ftproot,下面以域用户名称为名建立用户主目录文件。我在这里就为jishu和xiaoshou创建文件夹,并为相应的文件写入文件。
下载 (10.95 KB)
2009-5-27 15:17
(2) 安装支持工具:打开Windows2003安装盘下SUPPORT文件夹—下的TOOLS文件夹双击安装支持工具suptools.msi文件。
下载 (20.04 KB)
2009-5-27 15:17
(3) 安装成功后在运行中输入adsiedit.msc。
下载 (8.22 KB)
2009-5-27 15:17
(4) 依次展开Domain----CN=User找到用户,打开属性,在FTPDir(用来指定前述根目录内的文件夹)输入用户名,FTPRoot(用户指定用户主目录所在地的根目录)输入C:\Inetpub\ftproott。(在这里我就只截一张jishu用户的配置,xiaoshou用户的配置和他相同,不在多说)
下载 (22.58 KB)
2009-5-27 15:17
(5) 在FTP服务器上新建站点,选择“用Active Directory 隔离用户”。
下载 (16.82 KB)
2009-5-27 15:17
(6) 指定Active Directory凭据和默认Active Directory域。
下载 (13.7 KB)
2009-5-27 15:17
(7) 好了,现在就创建了域环境下FTP用户隔离站点geli
下载 (9.23 KB)
2009-5-27 15:17
(8) 我们来做验证,让用户jishu登陆FTP服务器。(在登陆过程中,系统要求用户输入用户名和密码,而且用户只能访问到属于自己的文件,这样就达到了为指定特定用户访问指定的的 FTP 服务器实例)
下载 (11.93 KB)
2009-5-27 15:17
下载 (11.79 KB)
2009-5-27 15:17
实验总结:(1) 在实验过程中会出现创建的FTP站点停止服务,您可以尝试将服务器名改变,然后在重新连接并重启FTP服务。
(2) 网络上还有一种方法,我们也可以参考,我就不截图了:
①打开C:\Inetpub\ftproott,在此下面以本地存在的用户名称为名建立用户主目录。
②运行iisftp.exe 程序
例如要将域用户xiaoshou 的主目录指定到 C:\Inetpub\ftproott,则输入以下两个命令:
Iisftp /setadprop xiaoshou ftproot C:\Inetpub\ftproott
Iisftp /setadprop xiaoshou ftpdir xiaoshou
其中第一个命令用来设置FTPRoot的网络路径,第二个命令用来设置FTPDir相对文件夹路径。您也可以利用以下两个命令:
Iisftp /getadprop xiaoshou ftproot
Iisftp /getadprop xiaoshou ftpdir
③创建一个让FTP站点可以读取用户属性的域用户帐户FTP 站点必须能够读取位于Active Directory内的域用户帐户的FTPRoot与FTPDir两个属性,才能够得知该用户主目录的位置,因此我们必须事先为FTP站点创建一个有权限读取这两个属性的域用户帐户备用。给DC上个一个用户“委派控制”读取所有用户信息
④创建域隔离用户。
