Windows 2008 : Internet Information Server (IIS 7.0)

IIS 7.0
(Gestion FTP)

Création
Répertoire virtuel FTP
Site FTP

Configuration FTP

Le service FTP est géré au moyen du "Gestionnaire des services Internet (IIS) 6.0" (à lancer depuis les outils d'administration ou depuis l'onglet "Sites FTP" du "Gestionnaire des services Internet (IIS)").

Onglet Sites FTP
du "Gestionnaire des services Internet (IIS)"

FTPGestionnaireServicesInternet6-02.png (16825 octets)

Gestionnaire des services Internet (IIS) 6.0
(un site FTP installé)

Le service FTP est installé mais n'est pas activé. Aucun site FTP n'est en ligne même si un est déclaré.

FTPDemarrage.png (25884 octets)

Démarrage du site FTP déclaré

FTPDemarrage02.png (10210 octets)

Démarrage conséquent du service FTP

FTPService.png (27055 octets)

Service MSFTPSVC en fonctionnement

FTPServiceAutomatique.png (22389 octets)

Configuration du service MSFTPSVC en démarrage automatique

FTPMenuService.png (17205 octets)

Menu contextuel associé à l'onglet "Services Internet (IIS)"

FTPMenuServeur.png (22707 octets)

Menu contextuel associé à l'onglet serveur

FTPMenuSites.png (22905 octets)

Menu contextuel associé à l'onglet "Sites FTP"

FTPMenuSite01.png (9299 octets)

FTPMenuSite02.png (9440 octets)

Menus contextuels associés à un site

Les site FTP

Après sélection des propriétés d'un site FTP.

Attribution de l'adresse IP à laquelle sera associé
le site FTP parmi toutes celles définies sur l'hôte
et du port TCP sur lequel le site FTP est installé
(port FTP standard: 21).
Configuration du nombre de connexions FTP simultanées
pouvant être gérées ainsi que du délai
de déconnexion automatique en cas d'inactivité.
Activation et paramètrage de la journalisation.

Configuration de la journalisation
(intervalles de temps, localisation)
et des informations enregistrées
(clients, fichiers téléchargés, quantités d'informations, ...)
(cliquer ici pour une description de chaque champ)
dans le journal de log du site FTP sous
\Windows\System32\LogFiles\MSFTPSVC1\exjjmmaa.log

Sessions en cours sur le site FTP et cloture éventuelle

Session FTP sous Internet Explorer sur l'adresse 127.0.0.1 (loopback)

Création d'un fichier et d'un répertoire dans ftproot

Session FTP sous Internet Explorer sur l'adresse 127.0.0.1 (loopback)

Session FTP sous Internet Explorer
sur le nom IP jura.w2k8.univ-fcomte.fr

Session FTP en invite de commandes

Session en cours lors du FTP en invite de commandes

Comptes de connexion anonyme et d'administration distante
(Possibilité d'interdire les connexionx anonyme et
de n'autoriser que les connexions anonymes)

Messages de connexion et de déconnexion

Messages reçus en FTP ligne de commandes

Répertoire de base
Soit un répertoire local,
soit un répertoire réseau.
Lecture seule ou lecture/écriture

Sécurité d'accés implantée sur le répertoire racine du site FTP.
Deux politiques:
Toutes les machines clientes sont autorisées sauf...
Toutes les machines clientes sont interdites sauf...
Contrôles réalisés sur la base de l'adresse IP du client.

Filtres de sécurité en fonction
de l'adresse (recherche DNS posiible)
ou d'une classe d'adresses

Un filtre installé pour refuser l'adresse IP 194.57.88.125

Création d'un répertoire virtuel FTP

Un répertoire virtuel est un répertoire créé et géré logiciellement par le service FTP au sein de l'arborescence des répertoires du site FTP.
Le repertoire virtuel ne correspond pas à un répertoire existant physiquement à cet endroit dans l'arborescence de répertoires du répertoire de base du site. Si un client FTP dresse liste de ce qui se trouve dans le répertoire parent du répertoire virtuel, celui-ci n'apparaitra pas dans la liste. En revanche, un accès direct au répertoire virtuel réussira.
Cet "alias" est "mappé" soit sur un répertoire de la machine locale soit sur un répertoire partagé d'un autre ordinateur.

Nom du répertoire virtuel sur le site FTP

Répertoire local correspondant

Contrôle d'accès

Création d'un répertoire virtuel (alias) FTP

Résultat dans le Gestionnaire des services Internet

Un fichier image dans le répertoire physique

Résultat de l'affichage du contenu du répertoire virtuel
dans Internet Explorer

Résultat de l'affichage Internet Explorer
du contenu du répertoire contenant le répertoire virtuel
-> Répertoire virtuel invisible
Si on souhaite le rendre visible, créer au même endroit
un répertoire physique portant le même nom
(Le service FTP bascule sur le répertoire virtuel
et pas sur le répertoire vide ou non)

Résultat de l'affichage Internet Explorer
du contenu du répertoire contenant le répertoire virtuel
après création du répertoire physique

Propriétés d'un répertoire virtuel FTP
(noter la possibilité de configurer
des restrictions d'accès spécifiques)

Création d'un nouveau site FTP

Plusieurs sites FTP peuvent être ébergés sur le même serveur FTP. La différenciation entre les sites est réalisée soit par l'adresse IP sur lequel le site est installé (plusieurs adresses IP et donc noms IP sont disponibles si plusieurs cartes réseau sont installées ou si une même carte possède plusieurs adresses IP), soit par le port TCP sur lequel le site répond.
Le port standard du FTP est le port 21. C'est celui qui est utilisé implicitement si aucun port n'est indiqué explicitement. Les ports 0 à 1023 sont standardisés et ne doivent pas être utilisés. Les ports 1024 à 65535 sont libres pour peu qu'ils ne soient pas déjà utilisés et vérrouillés par un autre service réseau sur le serveur.

Nom du site dans le Gestionnaire des Services Internet

FTPChoixAdresseIP.png (1881 octets)

Choix de l'adresse IP associé au site
(parmi celles disponibles sur l'hôte, soit une adresse particulière,
soit toutes les adresses non attribuées)
et du port TCP associé au site
(port FTP standard : 21)

Choix du port 2121 pour ce site

Choix du mode d'isolation (ici, pas d'isolation, voir plus loin)

Chemin d'accès au répertoire physique associé au site

Contrôle d'accès

Fin de la création

Résultat dans le Gestionnaire des services Internet

Résultat dans Internet Explorer

Autre exemple: Création d'un site FTP avec installation sur une autre adresse IP

Déclaration d'une seconde adresse IP
sur la même interface réseau

Installation du nouveau site sur la nouvelle adresse IP

Un nouveau répertoire physique pour le nouveau site

Résultat dans le Gestionnaire des services Internet

Résultat dans Internet Explorer

L'isolation

IIS offre trois possibilités pour gérer l'affectation du répertoire de base implicite lors de l'ouverture d'une session FTP par un utilisateur.
Dans les trois cas, l'utilisateur ne pourra parcourir que ce répertoire et ses sous-répertoires réels et virtuels. Il ne pourra pas remonter dans l'arborescence physique.

Sans isoltation: Le répertoire de base affecté à tout utilisateur est la racine du site.
Avec isolation: Le répertoire de base affecté à tout utilisateur sera un répertoire particulier sous la racine du site (voir cet article).
Avec isolation en utilisant Active Directory: Le répertoire de base affecté à tout utilisateur sera configuré dans Active Directory (voir cet article).

Création d'un site avec isolation des utilisateurs

Obligation de créer l'arborescence de répertoires
physiques sur le schéma suivant:

"Répertoire de base"\LocalUser\Public
pour les connexions anonymous

"Répertoire de base"\UserDomain\UserName
pour les connexions non anonymous

Création d'un site avec isolation des utilisateurs
en utilisant Active Directory

Pour chaque utilisateur définition dans Active Directory
des deux propriétés FTPRoot et FTPDir utilisées
pour indiquer le répertoire de base de l'utilisateur.
Deux instructions en ligne de commandes par utilisateur:

iisftp /SetADProp Toto FTPRoot C:\Homes\
iisftp /SetADProp Toto FTPDir Toto

Dans les propriétés d'un tel site, disparition de l'onglet "Comptes de sécurité" car il n'y a pas, par défaut,
de connexion anonyme possible
(voir article pour activation de l'accès anonyme)
et "Répertoire de base" car cette information
est extraite de Active Directory

Connexion sur ces sites

Connexion en ligne de commandes

Connexion au moyen d'Internet Explorer

Suite