IIS 6 FTP服务多用户配置
江苏警官学院 郭亚锋
IIS 6管理控制台中并没有显式的FTP用户管理界面,这导致网管们更愿意使用诸如Serv-U一类具有强大图形管理界面的FTP服务器软件。然而,在很多情况下安装Serv-U软件需要更多的安全性维护,在需求能够满足的情况下,使用IIS自带的FTP服务器是更好的选择方案。
IIS6将FTP服务器分为“不分隔用户”(Do Not Isolate Users Mode)、“隔离用户”(Isolate Users Mode)和“用Active Directory隔离用户”(Isolate Users Using Active Directory Mode)。
“不分隔用户”模式主要是为了兼容IIS原有的工作机制,虽然使用简单,但是可能存在安全问题,并且多用户的管理比较麻烦。“隔离用户”模式和“用Active Directory隔离用户”是在IIS6以后提出的新型FTP用户管理机制,分别可以使用本地用户和Active Directory域用户分配FTP服务。
“隔离用户”模式中的FTP用户可以使用本地用户账户,因此在不使用域管理的环境中使用,而“用Active Directory隔离用户”是将FTP用户管理和域用户管理集成在一起,通过域对象管理可以方便地修改用户所拥有的FTP资源,便于建设一个“可控可伸缩”的资源共享网络。
隔离用户模式配置
隔离用户模式由于不需要维护域环境,因此在大多数的简单网络应用中非常有用。配置用户模式FTP服务器可以使用以下步骤:
(1)在运行窗口中输入inetmgr打开IIS管理控制台,新建FTP服务器站点。
(2)在新建站点向导中填写站点名称和IP地址及端口。
(3)在新建站点向导中选择配置模式为隔离用户模式(如图1所示)。
图1 配置FTP用户模式
(4)在新建站点向导中配置FTP根目录。
(5)在新建站点向导中配置FTP站点的权限,如图2所示,FTP站点允许用户进行文件读写操作。
图2 站点访问权限设置
(6)在运行窗口输入lusrmgr.msc打开本地用户管理界面,增加FTP用户。
(7)在第4步配置的FTP根目录中新建LocalUser文件夹。
(8)在LocalUser文件夹中新建对应账号FTP的主文件夹(Home Directory),例如Administrator账号对应LocalUser\Administrator文 件 夹,匿 名 访 问 对 应LocalUser\Public文件夹(如图3所示)。
图3 新建FTP用户主文件夹
(9)按照实际的应用情况设置NTFS文件系统的访问控制列表(ACLs)。
注意
用户名需要和用户的主文件夹名称一致,否则用户将不能连接。由于使用了用户隔离模式,因此用户经过登录后仅能访问用户的主文件夹。在NTFS文件系统下需要执行步骤9 进行访问控制的设置,如果还需要访问除用户主文件夹外的空间,可以通过添加虚目录的方式,但这时必须通过NTFS文件系统的访问控制列表进行限制。
实际上,“不隔离”用户模式也能实现FTP服务器多用户的添加和管理,不过由于不进行用户目录隔离,就必须进行更加复杂的NTFS文件系统配置,确保用户仅能访问自己的主文件目录,并且每个用户均需要新建一个和用户名同名的虚目录作为用户主目录。
Active Directory隔离用户模式配置
Active Directory隔离用户模式是三种模式中最具有弹性的一种FTP应用模式,主要是由于决定用户资源位置的两个参数是FTP服务动态从Active Directory User对象的两个扩展属性中获得的,即msIIS-FTPRoot和msIIS-FTPDir。FTP服务默认每隔10 分钟缓存一次从Active Directory域获得的相关用户信息,因此可以方便调整实际用户FTP的主目录的位置,特别是在ISP环境中可以更灵活地和网络负载均衡服务器进行集成应用。
Active Directory隔离用户模式的配置主要涉及以下三个主要部分:
(1)配置文件服务器;
(2)配置Active Directory域;
(3)新建并配置隔离模式的FTP站点。
Active Directory隔离模式虽然具有强大的可控性,但是由于需要和文件服务器及Active Directory域进行协同配置,所以配置比较复杂,本文在此不再详述。
在以上三种模式的FTP服务器的配置中,使用“用户隔离”模式的FTP基本上能满足一般IIS Web网站的FTP管理功能,因此在简单Web管理中使用IIS自带的FTP完全能够满足一般的管理需要。此外,由于IIS FTP服务器的各项配置均可以通过编写WHS脚本进行配置,网管就可以定制出适合自己应用的FTP服务器,这是Serv-U等Windows下的FTP服务器软件所不具有的强大功能。