Zakończenie serii artykułów na temat tworzenia stron FTP poprzez pokazanie jak działa uwierzytelnienie i autoryzacja w IIS 7.
Wstęp
Do tej pory w tej serii artykułów pokazałem, jak stworzyć witrynę FTP, do której użytkownicy będą mieli dostęp poprzez bezpieczną sesję SSL. Szyfrowanie SSL nie jest jednak wszystkim. Bez odpowiednich mechanizmów autoryzacji, anonimowi użytkownicy nadal mają możliwość uzyskania dostępu do witryny FTP. W tym artykule chciałbym zakończyć serię poprzez omówienie tematu autoryzacji, ponieważ ma to związek ze stronami FTP w usłudze IIS 7.0.
Uwierzytelnienie
Tak naprawdę nie da się przeprowadzić żadnego rodzaju autoryzacji bez przeprowadzenia uwierzytelnienia.
Otwórz Menadżera Internet Information Services (IIS) Manager i przejdź po drzewie konsoli do | Sites | . Następnie kliknij dwukrotnie na ikonę „FTP Authentication” (uwierzytelnienie FTP), która znajduje się w środkowym polu konsoli. Jak widać na rysunku A, masz wybór: „Anonymous Authentication” (anonimowe uwierzytelnienie) lub „Basic Authentication” (podstawowe uwierzytelnienie). Dla naszych celów musimy włączyć „Basic Authentication”. Dlatego kliknij prawym przyciskiem myszy na opcję „Basic Authentication”, a następnie wybierz opcję „Enable” (włącz) z menu skrótów.
Rysunek A: Musisz włączyć Basic Authentication
Autoryzacja
Uwierzytelnienie ustala tożsamość użytkownika, lecz teraz musimy podjąć pewne kroki, aby określić, czy użytkownik ma mieć dostęp do witryny FTP, czy też nie. Jeżeli użytkownik jest uprawniony do uzyskania dostępu do witryny, to autoryzacja określi, czy użytkownik będzie uprawniony do przeprowadzenia czynności, którą chce przeprowadzić.
Istnieje kilka różnych form autoryzacji, które są obsługiwane dla witryn FTP. Możesz wykonać autoryzację poprzez domenę i adres IP albo użytkownika i nazwę grupy.
Ograniczenia dotyczące adresu oraz nazwy domeny
Ograniczenia dotyczące adresu i nazwy domeny są zwykle stosowane, gdy użytkownicy wchodzą na stronę anonimowo, ale mogą być używane w połączeniu z podstawowym uwierzytelnieniem w celu zapewnienia dodatkowego poziomu bezpieczeństwa. Dodanie ograniczenia domeny lub adresu IP jest naprawdę proste. Gdy wybierzesz witrynę FTP, kliknij dwukrotnie na ikonę „FTP IPv4 Address and Domain Restrictions”, która znajduje się w środkowej kolumnie.
Gdy konsola przełączy się na „Features View”, kliknij prawym przyciskiem myszy na pusty obszar w środkowym polu, a następnie wybierz jedną z opcji: „Add Allow Entry” lub „Add Deny Entry” z menu skrótów. Obie opcje działają w taki sam sposób, ale jedna udzieli dostępu do danego adresu lub domeny, podczas gdy druga zablokuje dostęp.
Po pojawieniu się monitu, wystarczy wpisać adres IP lub nazwę domeny, na której ma się opierać zasada. Jak widać na rysunku B, masz możliwość określenia pojedynczego adresu IP lub całego zakresu adresów IP.
Rysunek B: Możesz stworzyć zasadę autoryzacji opartą na adresach IP lub nazwach domeny
Gdy spojrzysz na rysunek powyżej, możesz zauważyć, że nie ma pola do określenia nazwy domeny. Powodem tego jest fakt, że zasady ograniczeń nazwy domeny stanowią ogromne obciążenie dla serwera, ponieważ każde połączenie wymaga odwrotnego wyszukiwania DNS w celu określenia nazwy domeny, związanej z adresem IP. Dlatego firma Microsoft domyślnie ukrywa opcję nazwy domeny.
Jeśli chcesz włączyć zasady domeny, kliknij prawym przyciskiem myszy w pustym obszarze pola „Features View”, a następnie wybierz polecenie „Edit Feature Settings” z menu skrótów. Spowoduje to, że system Windows wyświetlić okno dialogowe, które umożliwi ustawienie domyślnych zachowań dla nieokreślonych połączeń na „Allow” lub „Deny”. Jednak oprócz kontroli domyślnych zachowań serwera FTP, okno dialogowe zawiera również pole wyboru, którego można użyć, aby włączyć ograniczenia nazwy domeny, jak widać na rysunku C.
Rysunek C: Możesz użyć okna dialogowego “Edit IPv4 Addresses and Domain Restriction Settings”, aby włączyć ograniczenia nazwy domeny
Zasady autoryzacji FTP
Zwykle, jeśli masz zamiar przeprowadzić podstawowe uwierzytelnienie dla połączeń FTP, będziesz używać zasad autoryzacji FTP, aby kontrolować co dany użytkownik może robić. Aby uzyskać dostęp do zasad autoryzacji FTP, należy wybrać swoją witrynę FTP w konsoli Menedżera usług IIS, a następnie kliknąć dwukrotnie na ikonę „FTP Authorization Rules”, która znajduje się środkowym polu konsoli.
Gdy konsola przełączy się na „Features View”, można utworzyć zasadę autoryzacji FTP, klikając prawym przyciskiem myszy na pusty obszar w środkowym polu konsoli, a następnie wybierając polecenie „Add Allow Rule” lub „Add Deny Rule” z menu skrótów.
Ustanawianie zasady jest dość proste. Jeśli spojrzysz na rysunek D, zobaczysz, że zasada generalnie składa się tylko z użytkownika lub grupy, których zasada będzie obowiązywała oraz z pozwolenia. Na przykład, zasada może być zastosowana dla wszystkich użytkowników (All Users), wszystkich anonimowych użytkowników (All Anonymous Users), określonych grup użytkowników (Specified User Groups), takich jak administratorzy, użytkownicy czy goście (Admins, Users, Guests) lub dla poszczególnych użytkowników.
Rysunek D: Musisz określić użytkownika lub grupę użytkowników, a następnie określić uprawnienie
Zalecam, aby nigdy nie stosować zasady do poszczególnych użytkowników, mimo że konsola to umożliwia. Może się bowiem okazać, że zarządzania uprawnieniami zamieni się w logistyczny koszmar. Lepiej wyjdzie się na określeniu grupy lub na korzystaniu z innych dostępnych opcji.
Ustawianie uprawnienia jest bardzo proste. Jedyne, co trzeba zrobić, to wybrać pole wyboru „Read” albo „Write”, albo zaznaczyć oba. Jedną z rzeczy, o której należy pamiętać jest fakt, że są to uprawnienia poziomu IIS. Niemal zawsze istnieją również uprawnienia NTFS, które mają zastosowanie dla folderu, używanego przez serwer FTP. Musisz być pewien, że uprawnienia NTFS są wystarczające, aby umożliwić użytkownikom dostęp do określonej witryny FTP, w przeciwnym razie uprawnienia, które ustawiłeś za pomocą usług IIS nie będą działały.
Przeglądanie katalogów
Chociaż wydaje się to nieco dziwne (przynajmniej dla mnie), nie można stosować zasad autoryzacji do kontroli przeglądania katalogów. Aby to zrobić, należy wybrać serwer FTP w konsoli Menedżera usług IIS, a następnie dwukrotnie kliknąć ikonę „FTP Directory Browsing”, znajdującą się w środkowej kolumnie konsoli.
Jak widać na rysunku E, można wyświetlić spis katalogów w stylu MS-DOS lub w Unix. Nie ma jednak opcji, aby wyłączyć przeglądanie katalogów. Jeśli chcesz ją wyłączyć, upewnij się, że nie przypisałeś użytkownikom uprawnienia „Read” podczas tworzenia zasady autoryzacji.
Rysunek E: Można dostosować przeglądanie katalogów dla strony FTP, aby serwer wyglądał jak serwer DOS (Windows) lub UNIX
Oprócz kontroli stylu katalogu, masz również możliwość wyświetlania katalogów wirtualnych, liczby bajtów dostępnych w katalogu oraz czterocyfrowego formatu roku, a wszystko to poprzez wybranie odpowiedniego pola.
Podsumowanie
Jak widać, utworzenie witryny FTP w IIS 7.0 jest całkiem proste. Głównymi rzeczami, o których trzeba pamiętać jest to, że szyfrowanie SSL nie ma zastępuje uwierzytelniania i autoryzacji, a uprawnienia ustawione poprzez konsolę IIS nie zastępują uprawnień NTFS.
Źródło: www.windowsnetworking.com
|
