|
|
|
|
| |
|
ISA Server 2006 / 2004
: Note sul campo
sulla Configurazione e Pubblicazione
di un server FTP
|
Autore:
Giulio Martino
Data: 22.11.2006
Informazioni sull'Autore:
opera su sistemi Microsoft
fin dai tempi del DOS
senza trascurare sistemi
Unix, Linux. Le sue
competenze spaziano
anche nella installazione
e configurazione di
apparati di rete, firewall
e sistemi di posta.
Svolge la propria attività
a Matera.
Domande
sull'articolo? Scrivi
sul forum di ISAServer.it
>>
|
ISA
Server 2006/2004
: Note sul campo
sulla Configurazione
e
Pubblicazione
di un server
FTP
|
Introduzione
Ho letto diversi articoli
su internet, sia microsoft
che non, legati alla
creazione di un server
FTP che inglobasse al
suo interno le seguenti
funzioni:
1) Accesso Anonimo a
cartella pubblica in
sola lettura
2) Accesso Utente a
cartella dedicata e
solo ad essa in sola
lettura
3) Accesso Lettura\Scrittura,
per reparto CED o ADMIN
come preferite, a cartella
dedicata
Ma nessuno che desse
la possibilità
di fare tutto ciò
senza impazzire con
cose inutili o che richiedesse
la lettura di decine
di documenti. Così
mi sono deciso a scrivere
questo articolo che,
da zero, ci permetterà
di capire come operare.
Queste note sul campo
si riferiscono alla
creazione, gestione
e pubblicazione di un
Server FTP con Microsoft
ISA Server 2004/2006.
Scenario
1) ISA Server 2004 su
Windows Server 2003
2) Server FTP di Windows
Server 2003
Il Server FTP è
uno stand-alone (fuori
dal dominio Active Directory).
Installazione di
un server FTP
Per iniziare procuriamoci
il CD di installazione
di Windows Server 2003,
dopodiché installiamo
il server FTP. Ecco
i passi principali:
Andare in Installazione
Applicazioni > Installazione
componenti di Windows
> Server Applicazioni
> Internet Information
Services.
Selezionare Servizio
FTP (File Transfer Protocol)
e fare clic sul pulsante
OK.
Attendere che completi
l’installazione.
Dopodiché andare
in Pannello di controllo
> Strumenti
di amministrazione
> Gestione
Internet Information
Services.
Qui ci troveremo,
sotto Siti FTP, ‘Sito
FTP Predefinito’
Di
default è attivo
l’accesso anonimo,
e la root del sito FTP
è mappata su
C:\Inetpub\ftproot.
Adesso il nostro server
FTP è pronto
per l’uso.
Ora è accessibile
solo dalla LAN, ma vedremo
come pubblicarlo attraverso
il nostro ISA Server
2004/2006.
Principali configurazioni
del server FTP
Dalla Management Consolle
di IIS, andiamo nelle
proprietà del
‘Sito FTP predefinito’.
Ecco le principali configurazioni:
1) Il nome del sito
FTP - es. SITOFTP
-.
2) Messaggio di benvenuto/connessione/disconnessione
- nel sezione Messaggi
-.
3) Unità e cartella
di lavoro del server
FTP - es. C:\FTPSERVER
-.
Una volta impostata
e salvata la configurazione
del nostro server FTP
possiamo procedere con
la definizione degli
accessi.
Controllo degli accessi
utente
Se vogliamo creare degli
spazi riservati ai nostri
utenti, dobbiamo procedere
come segue :
1) Da Gestione Computer
del Server FTP creiamo
l’utente e verifichiamo
che faccia parte del
gruppo locale Users
2) Nella cartella di
lavoro del server FTP
- vedi sezione precedente
-, creare un cartella
che abbia lo stesso
nome dell’utente
appena creato.
Attenzione:
rispettare maiuscole
e minuscole.
3) Definire i permessi
NTFS di accesso
sulla cartella appena
creata in questo modo:
| |
Eliminare
tutti gli utenti
e gruppi e lasciare
solamente
|
|
|
| Administrators
|
Controllo
completo |
| <Utente
creato> |
Permessi
NTFS - al
minimo Lettura/Visualizzazione
- |
|
Ad esempio, se vogliamo
che l’utente ftpuser1
acceda con controllo
completo ad un'area
FTP dobbiamo, dopo aver
creato l’utente
ftpuser1, andare
nella cartella C:\FTPSERVER
- la cartella di lavoro
del Server FTP - e creare
la sottocartella \ftpuser1
assegnando i permessi
:
| |
|
|
|
| Administrators
|
Full
Access |
| ftpuser1 |
Full
Access |
|
In questo modo un 'utente
che effettua il login
sul Server FTP in modalità
anonima (anonymous)
entrerà nella
root principale (C:\FTPSERVER),
vedrà i nomi
delle cartelle utente,
ma non potrà
avervi accesso. In questo
caso posso accedere
solo ad una cartella
Public, da me
configurata, a
cui tutti gli utenti
FTP possono aver accesso.
Se invece l'utente entra
come ftpuser1 allora
andrà direttamente
nella cartella C:\FTPSERVER\ftpuser1.
Nella figura che segue,
ho aperto una connessione
ftp con l’utente
ftpuser1 e si
vede chiaramente che
ho avuto direttamente
accesso alla mia area
dedicata. Infatti in
quest'area avevo precedentemente
salvato il file ‘miodocumento.txt’.
Accesso utente in
cartella personalizzata
Se vogliamo spostare
la cartella dell’utente
dalla root del server
FTP in un'altra sottocartella,
o vogliamo chiamare
la cartella dell’utente
con un nome diverso,
è necessario
aggiungere al sito FTP
una directory virtuale
con nome uguale al nome
dell'utente e, come
cartella fisica, una
qualunque cartella -
non importa che abbia
un nome uguale all'utente
- sul disco.
Ad esempio, se vogliamo
che l’utente ftpuser1
abbia accesso alla
cartella fisica \private_ftpuser1
in c:\ftpserver\utenti,
allora dobbiamo creare
dalla Management Consolle
di IIS, nel sito FTP,
una cartella virtuale
chiamata ftpuser1,
che punta alla cartella
fisica C:\FTPSERVER\UTENTI\PRIVATE_FTPUSER1
Accesso 'Anonimo'
in una cartella personalizzata
L’accesso anonimo
ad un server FTP, tranne
configurazioni particolari,
richiede l’utilizzo
di un utente chiamato
‘Anonymous’.
Seguendo le logiche
sopra descritte anche
per Anonymous (che è
un utente a tutti gli
effetti, vedi utenti
e gruppi di windows),
sarà possibile
dirottarlo in una cartella
specifica.
Nel dettaglio, basterà
creare dalla Management
Consolle di IIS, una
directory virtuale
chiamata anonymous
e mapparla in una
qualunque cartella fisica
all’interno della
root del server FTP.
Punti Chiave
Vediamo di riassumere
i punti chiave della
configurazione fino
qui descritta:
Per l’accesso utente
in un area specifica
del nostro server FTP
:
1) Creare l’utente
2) Creare la directory
utente nella root del
server FTP
3) Assegnare i permessi
NTFS al gruppo Administrators
ed all’utente
rimuovendo tutto il
resto.
Per l’accesso utente
in un area specifica
che non si trova nella
root del server FTP:
1) Creare l’utente
2) Creare una cartella
fisica dedicata all'utente
3) Assegnare i permessi
al gruppo Adminstrators
ed all'utente
4) Creare una directory
virtuale con il nome
utente che faccia riferimento
alla directory fisica
precedentemente creata.
In tutti casi ricordarsi
che il gioco avviene
tra il nome utente che
si logga, il nome directory
(virtuale/fisica), che
deve corrispondere all’utente,
ed i permessi NTFS assegnati
alla cartella.
Pubblicazione del
Server FTP con ISA Server
2004/2006
Una volta configurato
correttamente il Server
FTP, le cartelle virtuali
ed i permessi la pubblicazione
con ISA Server è
davvero banale, infatti:
Da firewall Policy
1) Creiamo una new
server publishing rule
2) Assegniamo un nome
alla regola - es. Public
FTP Server -.
3) Inseriamo l’indirizzo
IP privato
- es. 192.168.65.3 -
del Server FTP.
4) Selezioniamo come
protocollo ‘FTP
SERVER’
5) Selezioniamo il network
object External.
Dove ISA Server
riceverà le richieste
di connessione da parte
dei client FTP.
La fase di pubblicazione
è terminata!!!
Applichiamo le modifiche
ed il gioco è
fatto. A questo punto
il nostro server FTP
è raggiungibile
da Internet e protetto
dal nostro ISA Server.
Per chi ha più
IP pubblici:
Se si hanno più
indirizzi IP pubblici
e si vuole che la scheda
esterna ISA ascolti
le richieste FTP solo
su un determinato indirizzo
IP, dal punto 5 :
1) Selezionare ‘Address’
2) Selezionale l’indirizzo
ip su cui si vuole mettere
in ascolto il server
FTP.
Osservazioni generali
sull'uso dei permessi,
delServer FTP e sulla
pubblicazione con ISA
Server.
| |
Permessi
L’uso del
File System NTFS
(New Tecnology
File System) è
fondamentale sui
server infatti,
oltre ad offrire
maggiori garanzie
sulla integrità
dei dati, permette
un controllo più
granulare delle
autorizzazioni
e dei permessi.
Server FTP
Per quanto riguarda
il Server FTP
bisogna tener
conto che l’impostazione
del flag ‘Lettura’
e del flag ‘Scrittura’
sul sito FTP è
prioritario rispetto
ai permessi assegnati
alle Cartelle/Files
da NTFS. Quindi,
anche se l’utente
ha tutti permessi
(Full Access)
NTFS, se è
selezionato solo
il flag lettura
(FTP), avrà
accesso alla cartella
in sola lettura.
Per maggiore sicurezza,
quando si usano
le cartelle dedicate
all’utente,
anche se sono
posizionate nella
root, conviene
comunque usare
le Directory Virtuali
del Server FTP,
in modo da poter
impostare singolarmente
le modalità
di accesso (Flag
Lettura\Scrittura),
cercando di far
coincidere il
più possibile
i permessi NTFS
con i permessi
FTP.
Si consiglia anche,
prima di pubblicare
il server, di
fare dei test
interni, in modo
da verificare
il corretto funzionamento
delle politiche
assegnate.
Pubblicazione
con ISA Server
Dopo la pubblicazione
su Internet attraverso
ISA 2004, anche
le cartelle a
cui abbiamo assegnato
i permessi di
scrittura, saranno
utilizzabili dall’utente
esterno in sola
lettura.
Questo è
dovuto al fatto
che ISA, di default,
abilita i filtri
Applicazione
che, nel caso
dell’FTP,
impongono una
connessione Read
Only. Per
eliminare l’impostazione
di sola lettura,
sul filtro FTP
relativo alla
regola di pubblicazione
del nostro server,
procediamo come
segue:
1) Firewall Policy
2) Sulla regola
di pubblicazione
del Server FTP,
pulsante destro
3) Configure FTP
4) Togliere il
check su ‘Read
Only’
Adesso i nostri
utenti Internet
potranno accedere,
anche in scrittura,
sulle cartelle
del server FTP.
|
Scripting
Di seguito sono riportati
alcuni link a script
per automatizzare le
seguenti operazioni:
Per ulteriori script
possiamo fare riferimento
alla seguente pagina
web sul sito Microsoft.
http://www.microsoft.com/technet/scriptcenter/default.mspx
Per tutti gli utenti
di ISAServer.it, nell'area
download,
ho reso disponibile
uno script [fai
clic qui] che
incorpora al suo interno
le seguenti funzioni:
1) Creazione Utente
2) Creazione Directory
sia fisica che virtuale
3) Assegnazione permessi
a cartella fisica
Maggiori dettagli sono
contenuti nello script
stesso.
Buon Lavoro con ISAServer.it
Giulio Martino
ISAServer.it
ed i suoi Autori non
sono responsabili per
danni di qualsiasi tipo
- inclusi danni per
perdita o mancato guadagno,
interruzione dell'attivita',
perdita di informazioni
commerciali o altre
perdite pecuniarie -
derivanti o correlati
all'utilizzo o all'incapacita'
di utilizzo delle informazioni
e degli esempi riportati
- per quanto testati
e funzionanti -. Le
informazioni e gli script
sono "cosi' come
sono", senza garanzia
di nessun tipo. L'intero
rischio derivante dall'uso
delle informazioni e
degli script di esempio
e' interamente a proprio
carico. L'utilizzo è
consentito solo accettando
le presenti condizioni.
|
|
| |
|
|
|
|
|
