Le service FTP est géré au moyen du "Gestionnaire des services
Internet (IIS) 6.0" (à lancer depuis les outils d'administration ou depuis l'onglet
"Sites FTP" du "Gestionnaire des services Internet (IIS)").
Onglet Sites FTP
du "Gestionnaire des services Internet (IIS)"
Gestionnaire des services Internet (IIS) 6.0
(un site FTP installé)
Le service FTP est installé mais n'est pas activé. Aucun site FTP n'est
en ligne même si un est déclaré.
Démarrage du site FTP déclaré
Démarrage conséquent du service FTP
Service MSFTPSVC en fonctionnement
Configuration du service MSFTPSVC en démarrage automatique
Menu contextuel associé à l'onglet "Services Internet (IIS)"
Menu contextuel associé à l'onglet serveur
Menu contextuel associé à l'onglet "Sites FTP"
Menus contextuels associés à un site
Les site FTP
Après sélection des propriétés d'un site FTP.
Attribution de l'adresse IP à laquelle sera associé
le site FTP parmi toutes celles définies sur l'hôte
et du port TCP sur lequel le site FTP est installé
(port FTP standard: 21).
Configuration du nombre de connexions FTP simultanées
pouvant être gérées ainsi que du délai
de déconnexion automatique en cas d'inactivité.
Activation et paramètrage de la journalisation.
Configuration de la journalisation
(intervalles de temps, localisation)
et des informations enregistrées
(clients, fichiers téléchargés, quantités d'informations, ...)
(cliquer ici pour une description de
chaque champ)
dans le journal de log du site FTP sous
\Windows\System32\LogFiles\MSFTPSVC1\exjjmmaa.log
Sessions en cours sur le site FTP et cloture éventuelle
Session FTP sous Internet Explorer sur l'adresse 127.0.0.1 (loopback)
Création d'un fichier et d'un répertoire dans ftproot
Session FTP sous Internet Explorer sur l'adresse 127.0.0.1 (loopback)
Session FTP sous Internet Explorer
sur le nom IP jura.w2k8.univ-fcomte.fr
Session FTP en invite de commandes
Session en cours lors du FTP en invite de commandes
Comptes de connexion anonyme et d'administration distante
(Possibilité d'interdire les connexionx anonyme et
de n'autoriser que les connexions anonymes)
Messages de connexion et de déconnexion
Messages reçus en FTP ligne de commandes
Répertoire de base
Soit un répertoire local,
soit un répertoire réseau.
Lecture seule ou lecture/écriture
Sécurité d'accés implantée sur le répertoire racine du site FTP.
Deux politiques:
Toutes les machines clientes sont autorisées sauf...
Toutes les machines clientes sont interdites sauf...
Contrôles réalisés sur la base de l'adresse IP du client.
Filtres de sécurité en fonction
de l'adresse (recherche DNS posiible)
ou d'une classe d'adresses
Un filtre installé pour refuser l'adresse IP 194.57.88.125
Création d'un répertoire
virtuel FTP
Un répertoire virtuel est un répertoire créé et géré logiciellement
par le service FTP au sein de l'arborescence des répertoires du site FTP.
Le repertoire virtuel ne correspond pas à un répertoire existant physiquement à cet
endroit dans l'arborescence de répertoires du répertoire de base du site. Si un client
FTP dresse liste de ce qui se trouve dans le répertoire parent du répertoire virtuel,
celui-ci n'apparaitra pas dans la liste. En revanche, un accès direct au répertoire
virtuel réussira.
Cet "alias" est "mappé" soit sur un répertoire de la machine locale
soit sur un répertoire partagé d'un autre ordinateur.
Nom du répertoire virtuel sur le site FTP
Répertoire local correspondant
Contrôle d'accès
Création d'un répertoire virtuel (alias) FTP
Résultat dans le Gestionnaire des services Internet
Un fichier image dans le répertoire physique
Résultat de l'affichage du contenu du répertoire virtuel
dans Internet Explorer
Résultat de l'affichage Internet Explorer
du contenu du répertoire contenant le répertoire virtuel
-> Répertoire virtuel invisible
Si on souhaite le rendre visible, créer au même endroit
un répertoire physique portant le même nom
(Le service FTP bascule sur le répertoire virtuel
et pas sur le répertoire vide ou non)
Résultat de l'affichage Internet Explorer
du contenu du répertoire contenant le répertoire virtuel
après création du répertoire physique
Propriétés d'un répertoire virtuel FTP
(noter la possibilité de configurer
des restrictions d'accès spécifiques)
Création d'un nouveau site FTP
Plusieurs sites FTP peuvent être ébergés sur le même serveur FTP. La
différenciation entre les sites est réalisée soit par l'adresse IP sur lequel le site
est installé (plusieurs adresses IP et donc noms IP sont disponibles si plusieurs cartes
réseau sont installées ou si une même carte possède plusieurs adresses IP), soit par
le port TCP sur lequel le site répond.
Le port standard du FTP est le port 21. C'est celui qui est utilisé implicitement si
aucun port n'est indiqué explicitement. Les ports 0 à 1023 sont standardisés et ne
doivent pas être utilisés. Les ports 1024 à 65535 sont libres pour peu qu'ils ne soient
pas déjà utilisés et vérrouillés par un autre service réseau sur le serveur.
Nom du site dans le Gestionnaire des Services Internet
Choix de l'adresse IP associé au site
(parmi celles disponibles sur l'hôte, soit une adresse particulière,
soit toutes les adresses non attribuées)
et du port TCP associé au site
(port FTP standard : 21)
Choix du port 2121 pour ce site
Choix du mode d'isolation (ici, pas d'isolation, voir
plus loin)
Chemin d'accès au répertoire physique associé au site
Contrôle d'accès
Fin de la création
Résultat dans le Gestionnaire des services Internet
Résultat dans Internet Explorer
Autre exemple: Création d'un site FTP avec installation sur une autre
adresse IP
Déclaration d'une seconde adresse IP
sur la même interface réseau
Installation du nouveau site sur la nouvelle adresse IP
Un nouveau répertoire physique pour le nouveau site
Résultat dans le Gestionnaire des services Internet
Résultat dans Internet Explorer
L'isolation
IIS offre trois possibilités pour gérer l'affectation du répertoire de base
implicite lors de l'ouverture d'une session FTP par un utilisateur.
Dans les trois cas, l'utilisateur ne pourra parcourir que ce répertoire et ses
sous-répertoires réels et virtuels. Il ne pourra pas remonter dans l'arborescence
physique.
- Sans isoltation: Le répertoire de base affecté à tout utilisateur est la racine du
site.
- Avec isolation: Le répertoire de base affecté à tout utilisateur sera un répertoire
particulier sous la racine du site (voir
cet article).
- Avec isolation en utilisant Active Directory: Le répertoire de base affecté à tout
utilisateur sera configuré dans Active Directory (voir cet article).
Création d'un site avec isolation des utilisateurs |
Obligation de créer l'arborescence de répertoires
physiques sur le schéma suivant:
"Répertoire de base"\LocalUser\Public
pour les connexions anonymous
"Répertoire de base"\UserDomain\UserName
pour les connexions non anonymous |
Création d'un site avec isolation des utilisateurs
en utilisant Active Directory |
Pour chaque utilisateur définition dans Active Directory
des deux propriétés FTPRoot et FTPDir utilisées
pour indiquer le répertoire de base de l'utilisateur.
Deux instructions en ligne de commandes par utilisateur:
iisftp /SetADProp Toto FTPRoot C:\Homes\
iisftp /SetADProp Toto FTPDir Toto |
Dans les propriétés d'un tel site, disparition de l'onglet
"Comptes de sécurité" car il n'y a pas, par défaut,
de connexion anonyme possible
(voir article pour activation de
l'accès anonyme)
et "Répertoire de base" car cette information
est extraite de Active Directory |
Connexion sur ces sites
Connexion en ligne de commandes
Connexion au moyen d'Internet Explorer
Suite |