Конфигурация FTP-сайта в IIS 7.5

tag-icon tag-icon active-directory permissions ftp sftp iis-7.5
Конфигурация FTP-сайта в IIS 7.5

Я настроил FTP-сайт в IIS 7.5 с SSL, используя самоподписанный сертификат. Я могу войти и просмотреть свои виртуальные каталоги, которые все настроены как пути UNC. Проблема в том, что я не могу писать ни в одно место через FTP.

У меня настроено 3 группы Active Directory. Каждая группа имеет разрешения, установленные должным образом на уровне папок. Эти разрешения проверяются на вкладке «Действующие разрешения», где отображаются разрешения для данного пользователя. Но когда я вхожу как пользователь (designer1), принадлежащий к группе (Design), которая имеет доступ к папкам, на которые указывают мои виртуальные каталоги, я получаю сообщение «Доступ запрещен».

Я перепробовал почти все конфигурации для этого и не могу заставить это работать. App Pool для моего FTP-сайта — это его собственный пул «FTP» без управляемого кода в режиме Classic Pipeline. Каким должен быть идентификатор Application Pool?

В свойствах FTP-сайта я установил для параметра «Подключиться как» значение «Пользователь приложения (сквозная аутентификация)», чтобы права доступа к файлам определяли, имеет ли этот пользователь доступ на запись или нет.

Также в свойствах сайта FTP у меня отключена анонимная аутентификация и включена базовая аутентификация. Мне не удалось установить правила авторизации FTP, так как я могу ввести что угодно в поле «Конкретные роли» и «Конкретные пользователи», и оно не проверяет, являются ли они реальными пользователями или группами.

Есть ли механизм кэширования, с помощью которого я не могу изменить настройки, а затем сразу же их протестировать? Я всегда перезапускаю службу IIS, перезапускаю сайт и перезагружаю пул приложений.

решение1

Хорошо, я разобрался со своей проблемой. Хотел бы кратко поделиться своими соображениями.

Пул приложений: .NET = Без управляемого кода: Режим конвейера = Интегрированный: Идентификация = Сетевая служба

Хитрость здесь в том, что новые правила авторизации FTP не проверяют имена пользователей или группы Active Directory (или локальные). Поэтому вы можете ввести сюда что угодно, думая, что у вас есть правильное имя группы, и вы не узнаете ничего, кроме того, что разрешения не сработали, чтобы разрешить правило, которое вы установили.

Я заставил это работать

  1. Обеспечение правильных разрешений на уровне папок/файлов для каждой группы или пользователя
  2. Настройка аутентификации FTP для включения базовой аутентификации и отключения анонимной аутентификации
  3. Установка свойств сайта на «Подключиться как...» = «Пользователь приложения (сквозная аутентификация)»
  4. Настройка правил авторизации FTP по желанию для каждого виртуального каталога

Я надеюсь, что это помогает кому-то!

Связанный контент