No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server / Forefront TMG

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 

<< Torna all'elenco degli Articoli
 
ISA Server 2006 / 2004 : Note sul campo
sulla Configurazione e Pubblicazione
di un server FTP
Autore: Giulio Martino
Data:
22.11.2006
Informazioni sull'Autore:
opera su sistemi Microsoft fin dai tempi del DOS senza trascurare sistemi Unix, Linux. Le sue competenze spaziano anche nella installazione e configurazione di apparati di rete, firewall e sistemi di posta. Svolge la propria attività a Matera.

Domande sull'articolo? Scrivi sul forum di ISAServer.it >>


ISA Server 2006/2004 : Note sul campo sulla Configurazione e
Pubblicazione di un server FTP

Introduzione
Ho letto diversi articoli su internet, sia microsoft che non, legati alla creazione di un server FTP che inglobasse al suo interno le seguenti funzioni:
1) Accesso Anonimo a cartella pubblica in sola lettura
2) Accesso Utente a cartella dedicata e solo ad essa in sola lettura
3) Accesso Lettura\Scrittura, per reparto CED o ADMIN come preferite, a cartella dedicata

Ma nessuno che desse la possibilità di fare tutto ciò senza impazzire con cose inutili o che richiedesse la lettura di decine di documenti. Così mi sono deciso a scrivere questo articolo che, da zero, ci permetterà di capire come operare. Queste note sul campo si riferiscono alla creazione, gestione e pubblicazione di un Server FTP con Microsoft ISA Server 2004/2006.


Scenario

1) ISA Server 2004 su Windows Server 2003
2) Server FTP di Windows Server 2003

Il Server FTP è uno stand-alone (fuori dal dominio Active Directory).

Installazione di un server FTP
Per iniziare procuriamoci il CD di installazione di Windows Server 2003, dopodiché installiamo il server FTP. Ecco i passi principali:
Andare in Installazione Applicazioni > Installazione componenti di Windows > Server Applicazioni > Internet Information Services.
Selezionare Servizio FTP (File Transfer Protocol) e fare clic sul pulsante OK.


Attendere che completi l’installazione.
Dopodiché andare in Pannello di controllo > Strumenti di amministrazione > Gestione Internet Information Services.
Qui ci troveremo, sotto Siti FTP, ‘Sito FTP Predefinito

Di default è attivo l’accesso anonimo, e la root del sito FTP è mappata su C:\Inetpub\ftproot.

Adesso il nostro server FTP è pronto per l’uso.

Ora è accessibile solo dalla LAN, ma vedremo come pubblicarlo attraverso il nostro ISA Server 2004/2006.

Principali configurazioni del server FTP
Dalla Management Consolle di IIS, andiamo nelle proprietà del ‘Sito FTP predefinito’.
Ecco le principali configurazioni:
1) Il nome del sito FTP - es. SITOFTP -.
2) Messaggio di benvenuto/connessione/disconnessione - nel sezione Messaggi -.
3) Unità e cartella di lavoro del server FTP - es. C:\FTPSERVER -.
Una volta impostata e salvata la configurazione del nostro server FTP possiamo procedere con la definizione degli accessi.


Controllo degli accessi utente
Se vogliamo creare degli spazi riservati ai nostri utenti, dobbiamo procedere come segue :
1) Da Gestione Computer del Server FTP creiamo l’utente e verifichiamo che faccia parte del gruppo locale Users
2) Nella cartella di lavoro del server FTP - vedi sezione precedente -, creare un cartella che abbia lo stesso nome dell’utente appena creato.
Attenzione: rispettare maiuscole e minuscole.
3) Definire i permessi NTFS di accesso sulla cartella appena creata in questo modo:
  Eliminare tutti gli utenti e gruppi e lasciare solamente
Utente/Gruppo
Permesso
Administrators Controllo completo
<Utente creato> Permessi NTFS - al minimo Lettura/Visualizzazione -

Ad esempio, se vogliamo che l’utente ftpuser1 acceda con controllo completo ad un'area FTP dobbiamo, dopo aver creato l’utente ftpuser1, andare nella cartella C:\FTPSERVER - la cartella di lavoro del Server FTP - e creare la sottocartella \ftpuser1 assegnando i permessi :

 
Utente/Gruppo
Permesso
Administrators Full Access
ftpuser1 Full Access


In questo modo un 'utente che effettua il login sul Server FTP in modalità anonima (anonymous) entrerà nella root principale (C:\FTPSERVER), vedrà i nomi delle cartelle utente, ma non potrà avervi accesso. In questo caso posso accedere solo ad una cartella Public, da me configurata, a cui tutti gli utenti FTP possono aver accesso.


Se invece l'utente entra come ftpuser1 allora andrà direttamente nella cartella C:\FTPSERVER\ftpuser1. Nella figura che segue, ho aperto una connessione ftp con l’utente ftpuser1 e si vede chiaramente che ho avuto direttamente accesso alla mia area dedicata. Infatti in quest'area avevo precedentemente salvato il file ‘miodocumento.txt’.


Accesso utente in cartella personalizzata
Se vogliamo spostare la cartella dell’utente dalla root del server FTP in un'altra sottocartella, o vogliamo chiamare la cartella dell’utente con un nome diverso, è necessario aggiungere al sito FTP una directory virtuale con nome uguale al nome dell'utente e, come cartella fisica, una qualunque cartella - non importa che abbia un nome uguale all'utente - sul disco.



Ad esempio, se vogliamo che l’utente ftpuser1 abbia accesso alla cartella fisica \private_ftpuser1 in c:\ftpserver\utenti, allora dobbiamo creare dalla Management Consolle di IIS, nel sito FTP, una cartella virtuale chiamata ftpuser1, che punta alla cartella fisica C:\FTPSERVER\UTENTI\PRIVATE_FTPUSER1


Accesso 'Anonimo' in una cartella personalizzata
L’accesso anonimo ad un server FTP, tranne configurazioni particolari, richiede l’utilizzo di un utente chiamato ‘Anonymous’. Seguendo le logiche sopra descritte anche per Anonymous (che è un utente a tutti gli effetti, vedi utenti e gruppi di windows), sarà possibile dirottarlo in una cartella specifica.

Nel dettaglio, basterà creare dalla Management Consolle di IIS, una directory virtuale chiamata anonymous e mapparla in una qualunque cartella fisica all’interno della root del server FTP.

Punti Chiave
Vediamo di riassumere i punti chiave della configurazione fino qui descritta:
Per l’accesso utente in un area specifica del nostro server FTP :
1) Creare l’utente
2) Creare la directory utente nella root del server FTP
3) Assegnare i permessi NTFS al gruppo Administrators ed all’utente rimuovendo tutto il resto.

Per l’accesso utente in un area specifica che non si trova nella root del server FTP:
1) Creare l’utente
2) Creare una cartella fisica dedicata all'utente
3) Assegnare i permessi al gruppo Adminstrators ed all'utente
4) Creare una directory virtuale con il nome utente che faccia riferimento alla directory fisica precedentemente creata.

In tutti casi ricordarsi che il gioco avviene tra il nome utente che si logga, il nome directory (virtuale/fisica), che deve corrispondere all’utente, ed i permessi NTFS assegnati alla cartella.

Pubblicazione del Server FTP con ISA Server 2004/2006
Una volta configurato correttamente il Server FTP, le cartelle virtuali ed i permessi la pubblicazione con ISA Server è davvero banale, infatti:
Da firewall Policy
1) Creiamo una new server publishing rule
2) Assegniamo un nome alla regola - es. Public FTP Server -.
3) Inseriamo l’indirizzo IP privato - es. 192.168.65.3 - del Server FTP.
4) Selezioniamo come protocollo ‘FTP SERVER
5) Selezioniamo il network object External. Dove ISA Server riceverà le richieste di connessione da parte dei client FTP.
La fase di pubblicazione è terminata!!!
Applichiamo le modifiche ed il gioco è fatto. A questo punto il nostro server FTP è raggiungibile da Internet e protetto dal nostro ISA Server.

Per chi ha più IP pubblici:

Se si hanno più indirizzi IP pubblici e si vuole che la scheda esterna ISA ascolti le richieste FTP solo su un determinato indirizzo IP, dal punto 5 :
1) Selezionare ‘Address’
2) Selezionale l’indirizzo ip su cui si vuole mettere in ascolto il server FTP.

Osservazioni generali sull'uso dei permessi, delServer FTP e sulla pubblicazione con ISA Server.
  Permessi
L’uso del File System NTFS (New Tecnology File System) è fondamentale sui server infatti, oltre ad offrire maggiori garanzie sulla integrità dei dati, permette un controllo più granulare delle autorizzazioni e dei permessi.

Server FTP
Per quanto riguarda il Server FTP bisogna tener conto che l’impostazione del flag ‘Lettura’ e del flag ‘Scrittura’ sul sito FTP è prioritario rispetto ai permessi assegnati alle Cartelle/Files da NTFS. Quindi, anche se l’utente ha tutti permessi (Full Access) NTFS, se è selezionato solo il flag lettura (FTP), avrà accesso alla cartella in sola lettura.
Per maggiore sicurezza, quando si usano le cartelle dedicate all’utente, anche se sono posizionate nella root, conviene comunque usare le Directory Virtuali del Server FTP, in modo da poter impostare singolarmente le modalità di accesso (Flag Lettura\Scrittura), cercando di far coincidere il più possibile i permessi NTFS con i permessi FTP.
Si consiglia anche, prima di pubblicare il server, di fare dei test interni, in modo da verificare il corretto funzionamento delle politiche assegnate.

Pubblicazione con ISA Server
Dopo la pubblicazione su Internet attraverso ISA 2004, anche le cartelle a cui abbiamo assegnato i permessi di scrittura, saranno utilizzabili dall’utente esterno in sola lettura.
Questo è dovuto al fatto che ISA, di default, abilita i filtri Applicazione che, nel caso dell’FTP, impongono una connessione Read Only. Per eliminare l’impostazione di sola lettura, sul filtro FTP relativo alla regola di pubblicazione del nostro server, procediamo come segue:
1) Firewall Policy
2) Sulla regola di pubblicazione del Server FTP, pulsante destro
3) Configure FTP
4) Togliere il check su ‘Read Only’
Adesso i nostri utenti Internet potranno accedere, anche in scrittura, sulle cartelle del server FTP.

Scripting
Di seguito sono riportati alcuni link a script per automatizzare le seguenti operazioni:
Task
Url
Creazione Utente di windows http://support.microsoft.com/kb/199878
Creazione Directory fisica/virtuale FTP Server http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true
Modifica permessi (Xcalcls.vbs) http://support.microsoft.com/kb/825751

Per ulteriori script possiamo fare riferimento alla seguente pagina web sul sito Microsoft.
http://www.microsoft.com/technet/scriptcenter/default.mspx

Per tutti gli utenti di ISAServer.it, nell'area download, ho reso disponibile uno script [fai clic qui] che incorpora al suo interno le seguenti funzioni:
1) Creazione Utente
2) Creazione Directory sia fisica che virtuale
3) Assegnazione permessi a cartella fisica

Maggiori dettagli sono contenuti nello script stesso.

Buon Lavoro con ISAServer.it

Giulio Martino

ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.

 
No banner in farm


ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server / Forefront TMG

Pubblicità su ISAserver.it - Note d'uso - Privacy
Copyright© 2004-2008 Luca Conte Tutti i diritti riservati.