论文导读::FTP是TCP/IP网络中计算机用于传输文件的协议,是Internet上出现最早,使用最为广泛的一种服务,基于客户机/服务器模式。本文详细介绍用IIS配置用户隔离的FTP服务器的两种方法,以及用户隔离的FTP服务器在计算机教学中的应用。
论文关键词:FTP服务器,IIS,用户隔离,ActiveDirectory,数据访问保护
1 引言
FTP(File Transfer Protocol)文件传输协议,用来在远程主机和本地主机之间传输文件。FTP服务是基于客户机/服务器模式的服务,通过该服务可在FTP服务器和FTP客户端之间建立TCP连接,实现FTP服务器和FTP客户端之间的文件传输,文件传输包括从FTP服务器下载文件和向FTP服务器上传文件。
2 FTP服务器的数据安全
FTP服务主要应用于软件的高速下载,Web站点的维护和更新,在不同类型的计算机之间传送文件等。由于FTP服务器上的数据对远程用户开放,允许用户对服务器上的文件进行读、写、修改、传送等操作,维护服务器上的数据安全具有重要意义。在IIS6.0中FTP服务可通过以下方式维护服务器上的数据安全:
2.1验证用户身份
1.匿名FTP 身份验证
默认状态下,FTP站点允许匿名访问,FTP服务器接受对该资源的所有请求,并且不提示用户输入用户名或密码。 如果站点中存储有重要的或敏感的信息,只允许授权用户访问,应禁止匿名访问。
2.基本FTP 身份验证
用户必须使用有效 Windows 用户名和密码进行登录,实现对该FTP站点的访问。
2.2 通过IP地址限制FTP连接
通过对IP地址的限制,可以只允许或拒绝某些特定范围内的计算机访问该FTP站点FTP服务器,避免某些来自外界的恶意攻击,并将授权用户限制在一定范围。将IP地址限制和用户认证访问集合在一起,可进一步提高FTP站点访问的安全性。
2.3 磁盘限额
当赋予FTP客户写入权限时,可用NTFS文件系统的磁盘配额功能限制用户对服务器硬盘的使用。为不同的用户组分别设置磁盘配额,当用户上传的文件超出容量时,系统将提示用户超出空间配额,上传操作不能完成。
3 用户隔离的FTP站点
在典型的FTP服务中,信息的传播是单方向的,既大多数用户能浏览和下载服务器上的文件,只有少数维护人员拥有向服务器上传文件的权限。当服务器和客户机之间的信息交流是双向的,需要授予多数用户向FTP服务器上传文件的权限,并限制用户查看或修改其他用户的文件时,必须建立“用户隔离”的FTP站点论文格式范文。
FTP 用户隔离通过将用户限制在自己的目录中,来防止用户查看或覆盖其他用户的FTP内容。在用户隔离的FTP站点内,用户能创建、修改或删除自己的文件和文件夹,但无法浏览目录树的上一层。FTP用户隔离是站点属性,在站点创建时确定,无法为每个FTP站点启动或关闭该属性。在创建FTP站点时,IIS6.0支持以下三种模式:
不隔离用户
该模式是FTP站点建立时的默认设置,登陆站点的用户可以访问FTP站点主目录或Public目录(在用户隔离模式下)的所有摘要在用户间进行数据访问保护的站点。
隔离用户
为防止普通用户通过匿名账号访问FTP站点,并在用户间进行数据访问保护,应该建立隔离用户的FTP站点。该模式在用户访问与用户名匹配的用户主目录前,根据本地用户账户验证用户身份。所有用户的主目录都在单一FTP主目录下,每个用户均被限制在自己的主目录中,不允许用户浏览自己主目录外的内容。建立用户隔离的FTP站点的步骤如下:
1) 为所有需要访问受保护的FTP站点的用户,在“计算机管理”控制台中的“本地用户和组”中建立本地用户账户。
2) 在硬盘的NTFS分区中建立FTP站点的目录结构,包括FTP站点的主目录,以及各用户账号的用户主目录。假设要让use1、user2登陆用户隔离的FTP站点,应在FTP主目录(如testFTP)下为用户创建用户主目录F:\testFTP\LocalUser\user1和F:\testFTP\LocalUser\user2。其中“LocalUser”子文件夹名称不能随意设置,新建的用户主目录名称“user1”, “user2” 必须与用户账户名称完全相同。用户隔离的FTP站点建成后,用户只能访问自己主目录,没有权利访问其他用户的主目录。
如果希望保留用户隔离站点的匿名登录功能,可在“LocalUser”文件夹中创建一个“Public”子目录。用户通过匿名方式登录FTP站点FTP服务器,只能浏览到“Public”子目录中的内容。
3)建立用户隔离的FTP站点,站点主目录指向“testFTP”文件夹。
用ActiveDirectory隔离用户
在FTP服务器上用ActiveDirectory隔离用户,FTP站点不需要主目录,但必须为每个用户创建一个专用的用户主目录。
首先安装活动目录,在Windows Server 2003域的Active Directory数据库的用户账户内有两个用来支持“用Active Directory隔离用户”的FTP站点属性,分别是FTProot和FTPdir。FTProot用来指定用户主目录的根目录,FTPdir用来指出用户主目录的相对路径。在命令提示符下,可利用iisftp程序为每个用户设置不同的FTProot和FTPdir属性,灵活地将用户主目录分布在多台服务器、多个卷和多个目录中。
该模式根据相应的 Active Directory 容器验证用户凭据。当用户对象在 ActiveDirectory 容器内时,可以将 FTPRoot 和 FTPDir 属性提取出来,为用户主目录提供完整路径。用户只能浏览自己的用户主目录,无法向上查看目录树。建立“用Active Directory隔离用户”的FTP站点的步骤如下:1、在“ActiveDirectory用户和计算机”域中,创建一个域用户账户test1。
2、用iisftp命令在Active Directory数据库中设置用户的主目录。当用户test1的FTP主目录为F:\ftp\test1dir时,用iisftp来设置test1的FTPRoot和FTPDir属性的命令如图。
 
图2-1 设置test1的FTPRoot和FTPDir属性
同理,当另一域用户test2的FTP主目录为D:\remoteftp\test2dir时,用iisftp来设置test2的FTPRoot属性为“D:\remoteftp”, FTPDir 属性为“test2dir”,因此在“用Active Directory隔离用户”的FTP站点,用户的主目录可放置在任意的网络路径上论文格式范文。
3、FTP站点通过域用户账户读取用户属性。FTP站点必须能够读取位于Active Directory内的域用户账户的FTPRoot 和 FTPDir 属性,才能够得知用户主目录的位置,这是通过对域用户账户进行控制委派实现的。具体步骤如下:
1)在“Active Directory用户和计算机”中,选择域用户账户test1所在的容器,右击,选择“控制委派”命令,弹出“控制委派向导”对话框,单击“下一步”。
2)弹出“用户和组”界面,单击“添加”,选择test1,单击“下一步”。
3)弹出“要委派的任务”界面,选中“读取所有用户信息”复选框,单击“下一步”。单击“完成”。
4、创建“用 ActiveDirectory 隔离用户”的FTP站点。
4 FTP用户隔离在教学中的应用
4.1毕业设计
在毕业设计过程中,学生大部分时间要在工作单位实习,师生之间需要就毕业设计的方向和毕业论文的修改进行频繁的交流。为学生建立用户隔离的FTP站点FTP服务器,有利于学生随时递交毕业设计的最新进展,便于教师及时审阅,给出修改意见。对软件专业的学生,教师可直接在FTP站点内修改学生毕业设计的方向,再由学生完成具体的设计内容。教师还可将毕业设计的要求,毕业论文的格式和各种通知发布在Public公共文件夹内,允许所有学生匿名访问。
4.2 作业提交
每学期末,在学生提交课程设计作业时,为学生建立用户隔离的FTP站点,便于教师同时管理多个班级的作业提交,减少由电子邮件提交作业带来的分类整理工作,又能避免U盘提交带来的病毒传播。
总之,建立用户隔离的FTP站点,给每个用户建立需登录访问的用户主目录,解决了FTP服务中数据双向传递的问题,加强了对用户数据的隔离保护,使FTP服务器的架设具有更大的灵活性,必将在研发推广FTP服务器的应用上起到十分积极的作用。
参考文献
[1]黄世权,FTP协议分析和安全研究.微计算机信息,2008(2-3):93:94
[2]唐伟,在Windows下实现配置FTP服务器.计算机时代,2004(5):41:43
[3]张志和,实战基于IIS的FTP服务器架设.吉林省教育学院学报,2009(8):104:105
[4]丛佩丽,网络操作系统管理与应用.北京:中国铁道出版社,2008:178:181
[5]程宪宝,FTP服务器安全的巧妙设置. 清远职业技术学院学报, 2009(06) :50:51
|
