Servidor FTP Microsoft IIS
Tanto en Windows 7/8 coma en Windows 2008/2012 Server, podemos instalar múltiples servidores FTP, como por exemplo, o Filezilla Server.
Anque, sen ter que acudir a software de terceiros, o servizo FTP pode ser instalado dentro do paquete do servidor web Internet Information Services.
Instalación do servidor FTP IIS en Windows 2012 Server
Podemos atopar o servizo FTP de IIS dentro do rol "Servidor Web" que e preciso instalar.
- Instalación do Rol IIS en Windows Server 2012
Seleccionamos o rol Servidor IIS
Agregamos as características necesarias, e continuamos
Nos servizos específicos fo rol, seleccionamos so Servizo FTP, e Consola de administración de IIS. Para rematar confirmamos a instalación.
Instalación do servidor FTP IIS en Windows 8
O paquete Internet Information Services está dispoñible dentro das Características de Windows
- Instalación do servizo IIS en Windows 8
No Panel de Control, accedemos a Programas, e despois a Activar ou desactivar características de Windows
Activamos dentro de IIS, a consola de administración e o Servizo FTP
Administración do servidor FTP de IIS
A través da consola de Administración de Internet Information Services (IIS), podemos administrar o servidor FTP de Microsoft. Podemos atopar esta consola, nas Ferramentas Administrativas.
- Consola de Administración
Vista principal da consola de administración de IIS.
Colocamonos enriba de sitios, e agregamos un sitio FTP, xa que por defecto non ven ningún sitio FTP configurado
Especificamos o nome (significativo so a nivel de administración) e o enderezo no sistema de ficheiros, onde estarán establecidos os arquivos do servidor FTP..
Indicamos os enderezos nos que atende peticións, e o porto (21 por defecto). Non empregamos ningún certificado SSL.
Na ventá de autenticación especificamos que tipo de autenticación permitimos, e a que usuarios lles permitimos o acceso, e que tipò de acceso (Lectura e/ou Escritura)
Unha vez instalado, podemos ver un resumo dos sitios instalados. So podemos ter un activo por enderezo e porto de escoita.
Seleccionando o sitio, e premendo en Enlaces podemos modificar os enderezos e portos nos que atende peticións
Seleccionando o sitio, e premendo en Configuración básica podemos modificar o nome, e a ruta no sistema de ficheiros onde residen os ficheiros que vai a servir.
No apartado Mensaxes FTP ...
... podemos especificar mensaxes de benvida aos usuarios que se conectan.
No apartado Listado de directorios ...
... podemos especificar como se amosará o listado de directorios e arquivos aos usuarios.
Acceso anónimo e autenticado
O servidor FTP de IIS tamén permite o acceso anónimo. Este tipo de acceso, estará ligado a un usuario do sistema. Por defecto este usuario e IUSR (é unha conta de usuario do sistema).
Debemos ter en conta, o nome deste usuario, para configurar os permisos de lectura/escritura no cartafol raíz de FTP. Os permisos que poidamos dar na consola de administración FTP, nunca van ser superiores aos que teñan os usuarios no sistema de ficheiros.
O tipo de autenticación básica, representa a todos os demais usuarios do sistema.
- Acceso anónimo
Escollemos o sitio FTP, e seleccionamos Autenticación FTP.
Escollemos autenticación anónima e prememos en Modificar
Podemos especificar o usuario que representará ao usuario anónimo. Por defecto este usuario e IUSR, e non ten contrasinal. Se espeficicamos outro, debemos indicar tamén o seu contrasinal.
Tamén debemos especificar as regras de autorización, para indicar a que usuarios se lles permite o acceso, e de que tipo.
- Regras de autorización
Escollemos o sitio FTP, e seleccionamos Autenticación FTP.
Podemos introducir regras de autorización e de denegación sobre os permisos de lectura, e de escritura. Hai que ter en conta, que, prevalecen as regras de denegación sobre as de permiso, e que non pode haber unha regra que denegue e outra que autorice. Nese caso, non se lle permite o login a ese usuario en concreto.
Hai que recordar, que sempre prevalecen os permisos do sistema de ficheiros sobre os de FTP. As veces é mais sinxelo, establecer os permisos no sistema de ficheiros.
Tamén este tipo de regras de autorización se poden establecer para cada un dos cartafoles que hai dentro do servidor FTP.
Restriccións de acceso
Podemos restrinxir os equipos desde os que os clientes se conectan ao sistema. É necesario establecer regras que lle permitan ou non o acceso baseado no enderezo IP do cliente
- Regras de restricción de enderezos
Escollemos o sitio FTP, e seleccionamos Restriccións de enderezos IP.
Podemos introducir regras de acceso a un enderezo IP ou subrede (especificando enderezo IP e máscara da subrede) ...
e de denegación de acceso a un enderezo IP ou subrede (especificando enderezo IP e máscara da subrede) ...
Premendo en Ver lista ordenada podemos ordenar as regras por orde de prioridade.
Tamen podemos especificar os tipos de arquivo que permitimos ou restrinximos no apartado de Filtrado de solicitudes e tamén a execución de comandos
- Regras de restricción de ficheiros
Escollemos o sitio FTP, e seleccionamos Filtrado de solicitudes.
Podemos indicar extensións permitidas e denegadas no servidor.
Na mesma ventá de Filtrado de solicitudes, escollemos a pestana Comandos e indicamos cales restrinximos e cales permitimos. A lista de comandos podemos atopala no seguinte enlace
Aillamento de usuarios
É posible establecer gaiolas chroot para os distintos usuarios, de forma que cada un teña a ilusión de que inicia no cartafol /, e non pode acceder ao resto de cartafoles do sistema, nin dos outros usuarios.
Temos varias posibilidades:
- Non establecer gaiolas, e establecer que os usuarios inicien directamente no directorio raíz de FTP.
- Non establecer gaiolas, e establecer que os usuarios inicien directamente nun directorio co mesmo nome que o nome de inicio de sesión que existe dentro do directorio raíz de FTP. Para o usuario anónimo, é necesario un directorio co nome "anonymous"
- Establecer gaiolas para os usuarios nun directorio físico ou virtual dentro do directorio raíz de FTP non permitindo directorios virtuais globais:
- Para o usuario anónimo en %%FtpRoot%\LocalUser\Public
- Para usuarios locais en %%FtpRoot%\LocalUser\%nombreDeUsuario%
- Para usuarios do dominio en %%FtpRoot%\%UserDomain%\%nombreDeUsuario%
- Establecer gaiolas para os usuarios nun directorio físico dentro do directorio raíz de FTP permitindo directorios virtuais globais:
- Para o usuario anónimo en %%FtpRoot%\LocalUser\Public
- Para usuarios locais en %%FtpRoot%\LocalUser\%nombreDeUsuario%
- Para usuarios do dominio en %%FtpRoot%\%UserDomain%\%nombreDeUsuario%
- Establecer gaiolas para os usuarios no seu directorio HOME. Esta opción require Active Directory, e deshabilita o acceso anónimo.
- Aillamento de usuarios
Escollemos o sitio FTP, e seleccionamos Aillamento de usuarios.
Especificamos o tipo de aillamento.
Encriptación SSL
Ben sabido é que un dos defectos que ten o protocolo FTP é que transmite toda a información sen cifrar, e que calquera que teña acceso ao medio de transporte, pode capturar os paqutes transmitidos, onde viaxan sen cifrar, nomes de usuario, contrasinais, comandos, e contido dos ficheiros transmitidos.
Para solucionalo, o servidor IIS, admite a creación de certificados e o traballo con autenticación SSL. Desta maneira, toda a información é transmitida de xeito cifrado.
Vexamos o proceso, para empregar cifrado SSL:
- Encriptación SSL
Posicionamonos enriba do servidor, e escollemos certificados de servidor
Vemos que non hai ningún certificado, e prememos Crear certificado autoasinado
Indicamos o nome do certificado
Vemos que xa temos creado un certificado asinado por nos mesmos, coa súa data de validez.
Volvemos ao sitio FTP, e escollemos Configuración SSL de FTP
Escollemos o certificado autoasinado que acabamos de crear. Na directiva SSL, escollemos Permitir conexións SSL. Despois aplicamos os cambios. No caso de que escolleramos Requirir conexións SSL, so se poderían conectar os clientes que empreguen cifrado SSL, que non son todos. Por exemplo o cliente en liña de comandos de Windows non soporta SSL.
