在IIS7上配置FTP7驗(yàn)證在 Windows Server 2008 R2 發(fā)布后，gOxiA 就開始著手于相關(guān)的測試和評估。IIS 是重點(diǎn)測試和評估之一!而今天與大家分享的是如何在 IIS7 上配置 FTP7 使用 IIS管理憑據(jù) 方式進(jìn)行身份驗(yàn)證。提到 MSFTP 服務(wù)，恐怕知道的人多，但是真正使用的人少!特別是 IDC 環(huán)境下多數(shù)會選擇 Serv-U FTP Server，gOxiA 從 Windows Server 2008 開始就不再使用 Serv-U，原因很簡單!Serv-U 不是免費(fèi)的，此次 Serv-U 默認(rèn)存在安全隱患。況且開放 FTP 也是為了方便自己維護(hù)網(wǎng)站，下載上傳資料用!所以用系統(tǒng)自身的軟件不是更好!維護(hù)也相對容易很多!但是，使用過 MSFTP 的朋友知道從 FTP7 開始，微軟才為 MSFTP 設(shè)計(jì)提供了對非 Windows 身份驗(yàn)證功能的支持，也就是說如果我們要訪問 MSFTP 則不必再在系統(tǒng)里添加用戶帳號，而可以使用 IIS 來統(tǒng)一管理單獨(dú)的憑據(jù)!現(xiàn)在我們再也不用擔(dān)心，使用 MSFTP 會存在用戶帳號安全隱患的問題。

　　這是一篇 Step by Step，所以其中涉及到的相關(guān)原理及知識內(nèi)容不作過多介紹!我們將通過 IIS7 提供的 IisManagerAuth 身份驗(yàn)證模塊來實(shí)現(xiàn) IIS管理憑據(jù)的 FTP 帳號。具體步驟如下：

　　在 開始配置之前，我們需要修改相關(guān)目錄的目錄安全權(quán)限，這一步驟是必須的，否則在登錄 FTP 的時候會出現(xiàn)錯誤。如下圖所示，我們會看到由于權(quán)限不足導(dǎo)致無法讀取配置文件的錯誤提示。而無權(quán)限讀取的文件是位于 inetsrvconfig 下的 redirection.config 文件。經(jīng)過 gOxiA 的測試發(fā)現(xiàn)即使為該文件添加了相應(yīng)的權(quán)限但仍提示登錄失敗，最終要配置 config 目錄權(quán)限，賦予 Network Service(FTP7 進(jìn)程的默認(rèn)帳戶)有讀取權(quán)限后才能正常登錄。

　　為了簡單的演示目錄權(quán)限的設(shè)置過程，gOxiA 參考了 IIS.net 中相關(guān)文章的命令行，其中涉及到的 cacls 可以直接運(yùn)行就可以得到參數(shù)幫助。要執(zhí)行的命令行如下：

　　cacls c:windowssystem32inetsrvconfig /G "Network Service":R /E

　　配置了 config 目錄權(quán)限后，請確保 “Network Service”對該目錄下的 administration.config 和 redirection.config 文件有讀取權(quán)限，否則請執(zhí)行如下命令行：

　　cacls c:windowssystem32inetsrvconfigadministration.config /G "Network Service":R /E

　　cacls c:windowssystem32inetsrvconfigredirection.config /G "Network Service":R /E

　　之后創(chuàng)建一個 FTP 的默認(rèn)目錄，注意請?zhí)砑?ldquo;Network Service”有完全控制的權(quán)限。

　　下面，我們開始配置 IIS7，創(chuàng)建一個 FTP 站點(diǎn)，為其啟用 IisManagerAuth，并創(chuàng)建一個 IIS管理憑據(jù)的帳戶，使其具備 FTP 相應(yīng)的訪問權(quán)限。

　　在開始之前請確認(rèn)已經(jīng)安裝了 IIS7 的 管理服務(wù)組件，否則請進(jìn)入服務(wù)器管理，單擊添加角色服務(wù)，選中 IIS7 的管理服務(wù)組件，進(jìn)行安裝。

　　默認(rèn)可以使用 C:InetpubFtPRoot 作為 FTP 主目錄，當(dāng)然也可以根據(jù)自己的需要創(chuàng)建或選擇一個目錄，但是需要注意，請賦予“Network Service”有完全控制權(quán)限。

　　下來我們配置 IIS7 啟用 IIS管理器憑據(jù)，在啟用之后才能使用 IisManagerAuth。為此，打開 IIS管理器，雙擊“管理服務(wù)”，選中“Windows 憑據(jù)或 IIS 管理器憑據(jù)”，最后單擊右邊操作列表下的“應(yīng)用”。

　　之后使用“IIS管理器用戶”創(chuàng)建一個 IIS 所管理的用戶帳號。為此，雙擊“IIS 管理器用戶”，單擊“添加用戶”，在彈出的窗體中輸入用戶名和密碼。

　　上述操作一旦完成，就可以開始創(chuàng)建一個 FTP 站點(diǎn)，首先選中 IIS 管理器左邊的導(dǎo)航窗體中的“網(wǎng)站”，之后單擊鼠標(biāo)右鍵，左鍵單擊“添加 FTP 站點(diǎn)…”。

　　“站點(diǎn)信息”中輸入 FTP 站點(diǎn)名稱，如：Default FTP Site。并選擇默認(rèn)的內(nèi)容目錄，本例中 gOxiA 使用的是 C:inetpubftproot，單擊“下一步”。

　　在“綁定和 SSL 設(shè)置”中，根據(jù)需要啟用虛擬主機(jī)名，注意：FTP“虛擬主機(jī)名”可能不被一些客戶端所支持。此外請將 SSL 默認(rèn)的配置“需要”更改為“允許”，否則如果不配置 SSL 證書并使用 SSL FTP 登錄方式將導(dǎo)致客戶端連接失敗。

　　在 “身份驗(yàn)證和授權(quán)信息”配置中，更具需要選擇身份驗(yàn)證方式，并指定一個用戶和權(quán)限。如果你只允許 IIS管理器用戶能夠訪問該 FTP 站點(diǎn)，那么這一步可以不配置，直接單擊“完成”。方便大家的學(xué)習(xí)，本例中允許系統(tǒng)用戶中的 Administrator 對FTP 有讀取和寫入的權(quán)限。

　　現(xiàn)在以 Windows 身份驗(yàn)證方式的 FTP 站點(diǎn)已經(jīng)創(chuàng)建好了，下面我們可以使用 Administrator 來登錄 FTP。

　　經(jīng)過測試，創(chuàng)建的 FTP 站點(diǎn)已經(jīng)正常運(yùn)行，下面我們將要為該 FTP 站點(diǎn)添加之前創(chuàng)建的 IIS管理器用戶 — goxia 有相應(yīng)的訪問權(quán)限。

　　首先，選中“Default FTP Site”，在內(nèi)容窗體中雙擊“FTP 身份驗(yàn)證”，進(jìn)入“FTP 身份驗(yàn)證”設(shè)置后單擊右邊操作中的“自定義提供程序…”，在彈出窗體中勾選“IisManagerAuth”。

　　啟用了 IisMangerAuth 后，打開“FTP 授權(quán)規(guī)則”，添加指定的用戶 — goxia，并賦予有相應(yīng)的訪問權(quán)限。

　　最后我們來使用 goxia 這個 IIS 管理器用戶登錄 FTP 進(jìn)行測試。

　　如 果首次登錄失敗，提示無法驗(yàn)證用戶和密碼，則需要打開該 FTP 站點(diǎn)的“IIS 管理器權(quán)限”設(shè)置，添加 goxia 這個帳號。之后測試登錄成功后再將其帳號從中刪除即可。查找 IIS.net 的相關(guān)指引文檔，發(fā)現(xiàn)默認(rèn)是要執(zhí)行這步配置的，但是 gOxiA 認(rèn)為這一步是配置用戶是否具有該 FTP 的遠(yuǎn)程管理權(quán)限的，一旦配置并啟用 IIS 的遠(yuǎn)程管理服務(wù)，那么該帳號具備的權(quán)限可能會造成安全隱患。目前 gOxiA 也未完全理解。