如何在IIS7上配置 FTP7并使用IIS管理憑據(jù)方式進(jìn)行驗(yàn)證？

Win7之家（ afsion.com.cn）：如何在IIS7上配置 FTP7并使用IIS管理憑據(jù)方式進(jìn)行驗(yàn)證？

 在 Windows Server 2008 R2 發(fā)布后，gOxiA 就開始著手于相關(guān)的測試和評(píng)估。IIS 是重點(diǎn)測試和評(píng)估之一！而今天與大家分享的是如何在  IIS7 上配置 FTP7 使用 IIS管理憑據(jù) 方式進(jìn)行身份驗(yàn)證。提到 MSFTP 服務(wù)，恐怕知道的人多，但是真正使用的人少！特別是 IDC 環(huán)境下多數(shù)會(huì)選擇 Serv-U FTP Server，gOxiA 從 Windows Server 2008 開始就不再使用 Serv-U，原因很簡單！Serv-U 不是免費(fèi)的，此次 Serv-U 默認(rèn)存在安全隱患。況且開放 FTP 也是為了方便自己維護(hù)網(wǎng)站，下載上傳資料用！所以用系統(tǒng)自身的軟件不是更好！維護(hù)也相對(duì)容易很多！但是，使用過 MSFTP 的朋友知道從  FTP7 開始，微軟才為 MSFTP 設(shè)計(jì)提供了對(duì)非 Windows 身份驗(yàn)證功能的支持，也就是說如果我們要訪問 MSFTP 則不必再在系統(tǒng)里添加用戶帳號(hào)，而可以使用 IIS 來統(tǒng)一管理單獨(dú)的憑據(jù)！現(xiàn)在我們?cè)僖膊挥脫?dān)心，使用 MSFTP 會(huì)存在用戶帳號(hào)安全隱患的問題。

        這是一篇 Step by Step，所以其中涉及到的相關(guān)原理及知識(shí)內(nèi)容不作過多介紹！我們將通過 IIS7 提供的 IisManagerAuth 身份驗(yàn)證模塊來實(shí)現(xiàn) IIS管理憑據(jù)的 FTP 帳號(hào)。具體步驟如下：

        在 開始配置之前，我們需要修改相關(guān)目錄的目錄安全權(quán)限，這一步驟是必須的，否則在登錄 FTP 的時(shí)候會(huì)出現(xiàn)錯(cuò)誤。如下圖所示，我們會(huì)看到由于權(quán)限不足導(dǎo)致無法讀取配置文件的錯(cuò)誤提示。而無權(quán)限讀取的文件是位于 inetsrv＼config 下的 redirection.config 文件。經(jīng)過 gOxiA 的測試發(fā)現(xiàn)即使為該文件添加了相應(yīng)的權(quán)限但仍提示登錄失敗，最終要配置 config 目錄權(quán)限，賦予 Network Service（FTP7 進(jìn)程的默認(rèn)帳戶）有讀取權(quán)限后才能正常登錄。

        為了簡單的演示目錄權(quán)限的設(shè)置過程，gOxiA 參考了 IIS.net 中相關(guān)文章的命令行，其中涉及到的 cacls 可以直接運(yùn)行就可以得到參數(shù)幫助。要執(zhí)行的命令行如下：

        配置了 config 目錄權(quán)限后，請(qǐng)確保 “Network Service”對(duì)該目錄下的 administration.config 和 redirection.config 文件有讀取權(quán)限，否則請(qǐng)執(zhí)行如下命令行：

        之后創(chuàng)建一個(gè) FTP 的默認(rèn)目錄，注意請(qǐng)?zhí)砑?ldquo;Network Service”有完全控制的權(quán)限。

        下面，我們開始配置 IIS7，創(chuàng)建一個(gè) FTP 站點(diǎn)，為其啟用 IisManagerAuth，并創(chuàng)建一個(gè) IIS管理憑據(jù)的帳戶，使其具備 FTP 相應(yīng)的訪問權(quán)限。

        在開始之前請(qǐng)確認(rèn)已經(jīng)安裝了 IIS7 的 管理服務(wù)組件，否則請(qǐng)進(jìn)入服務(wù)器管理，單擊添加角色服務(wù)，選中 IIS7 的管理服務(wù)組件，進(jìn)行安裝。

        默認(rèn)可以使用 C:＼Inetpub＼Ftproot 作為 FTP 主目錄，當(dāng)然也可以根據(jù)自己的需要?jiǎng)?chuàng)建或選擇一個(gè)目錄，但是需要注意，請(qǐng)賦予“Network Service”有完全控制權(quán)限。

        下來我們配置 IIS7 啟用 IIS管理器憑據(jù)，在啟用之后才能使用 IisManagerAuth。為此，打開 IIS管理器，雙擊“管理服務(wù)”，選中“Windows 憑據(jù)或 IIS 管理器憑據(jù)”，最后單擊右邊操作列表下的“應(yīng)用”。

        之后使用“IIS管理器用戶”創(chuàng)建一個(gè) IIS 所管理的用戶帳號(hào)。為此，雙擊“IIS 管理器用戶”，單擊“添加用戶”，在彈出的窗體中輸入用戶名和密碼。

        上述操作一旦完成，就可以開始創(chuàng)建一個(gè) FTP 站點(diǎn)，首先選中 IIS 管理器左邊的導(dǎo)航窗體中的“網(wǎng)站”，之后單擊鼠標(biāo)右鍵，左鍵單擊“添加 FTP 站點(diǎn)…”。

        “站點(diǎn)信息”中輸入 FTP 站點(diǎn)名稱，如：Default FTP Site。并選擇默認(rèn)的內(nèi)容目錄，本例中 gOxiA 使用的是 C:＼inetpub＼ftproot，單擊“下一步”。

        在“綁定和 SSL 設(shè)置”中，根據(jù)需要啟用虛擬主機(jī)名，注意：FTP“虛擬主機(jī)名”可能不被一些客戶端所支持。此外請(qǐng)將 SSL 默認(rèn)的配置“需要”更改為“允許”，否則如果不配置 SSL 證書并使用 SSL FTP 登錄方式將導(dǎo)致客戶端連接失敗。

        在 “身份驗(yàn)證和授權(quán)信息”配置中，更具需要選擇身份驗(yàn)證方式，并指定一個(gè)用戶和權(quán)限。如果你只允許 IIS管理器用戶能夠訪問該 FTP 站點(diǎn)，那么這一步可以不配置，直接單擊“完成”。方便大家的學(xué)習(xí)，本例中允許系統(tǒng)用戶中的 Administrator 對(duì)該 FTP 有讀取和寫入的權(quán)限。

        現(xiàn)在以 Windows 身份驗(yàn)證方式的 FTP 站點(diǎn)已經(jīng)創(chuàng)建好了，下面我們可以使用 Administrator 來登錄 FTP。

        經(jīng)過測試，創(chuàng)建的 FTP 站點(diǎn)已經(jīng)正常運(yùn)行，下面我們將要為該 FTP 站點(diǎn)添加之前創(chuàng)建的 IIS管理器用戶 — goxia 有相應(yīng)的訪問權(quán)限。

        首先，選中“Default FTP Site”，在內(nèi)容窗體中雙擊“FTP 身份驗(yàn)證”，進(jìn)入“FTP 身份驗(yàn)證”設(shè)置后單擊右邊操作中的“自定義提供程序…”，在彈出窗體中勾選“IisManagerAuth”。

        啟用了 IisMangerAuth 后，打開“FTP 授權(quán)規(guī)則”，添加指定的用戶 — goxia，并賦予有相應(yīng)的訪問權(quán)限。

        最后我們來使用 goxia 這個(gè) IIS 管理器用戶登錄 FTP 進(jìn)行測試。

        如 果首次登錄失敗，提示無法驗(yàn)證用戶和密碼，則需要打開該 FTP 站點(diǎn)的“IIS 管理器權(quán)限”設(shè)置，添加 goxia 這個(gè)帳號(hào)。之后測試登錄成功后再將其帳號(hào)從中刪除即可。查找 IIS.net 的相關(guān)指引文檔，發(fā)現(xiàn)默認(rèn)是要執(zhí)行這步配置的，但是 gOxiA 認(rèn)為這一步是配置用戶是否具有該 FTP 的遠(yuǎn)程管理權(quán)限的，一旦配置并啟用 IIS 的遠(yuǎn)程管理服務(wù)，那么該帳號(hào)具備的權(quán)限可能會(huì)造成安全隱患。目前 gOxiA 也未完全理解。希望有網(wǎng)友指點(diǎn)一二！

文/gOxiA