Мы используем Windows Server 2008 с Active Directory, контролирующим доступ к сетевому ресурсу. Мы настроили FTP так, чтобы люди могли получить доступ к этому ресурсу извне (раньше мы использовали PPTP VPN, но по разным причинам нам нужно перейти на FTP). Вот что нам удалось реализовать на FTP:
-Theсетевой ресурс используется как корень FTP(определяется как UNC) и работает нормально.
-Аутентификация AD работает нормально(неправильный пароль — и вы остаетесь снаружи, хороший пароль — вы внутри, управление паролями в AD корректно синхронизировано с FTP)
.Разрешения AD не работают:разрешения AD на содержимое корня FTP игнорируются: пользователь либо имеет доступ только на чтение, либо на запись, но это относится ко всему корню FTP, что, очевидно, не подходит, поскольку изначально этот корень FTP является нашим сетевым ресурсом, а файлы/папки имеют разные разрешения AD в зависимости от групп пользователей...
Независимо от того, устанавливаем ли мы разрешения через общий ресурс ИЛИ через интерфейс управления FTP, разрешения AD никогда не применяются.
В1: Это нормально?
В2: Если да, то какие существуют решения для объединения разрешений AD с FTP на сервере MS Server 2008?
В3: Если нет, куда мне следует обратиться, чтобы исправить конфигурацию?
1-е обновление:
Следуя ответу MarkM, я сделал следующее:
-Установил разрешения NTFS для общего ресурса (который также является корнем FTP) на List folder contentsзначение for Domain users
-Установил FTP Authorization Rulesзначение Specified roles or user groups= Domain Userswith Permissions= Read(раньше writeтакже было включено, поэтому разрешения NTFS, вероятно, были перезаписаны).
Затем я создал 3 папки со следующими разрешениями NTFS:
-папкаA: наследуемый, ничего больше
-папкаB: не наследуется, Full controlк Domain users
-папкаC: не наследуется, нет разрешений наDomain users
Через FTP разрешения на чтение NTFS применяются должным образом, однако разрешения на запись не применяются
:папкаA: может видеть папку, может открыть ее и скачать ее содержимое, не может загружать в нее
-папкаB: может видеть папку, может открыть ее и загрузить ее содержимое, не может загружать в нее данные ( writeразрешение NTFS НЕ применяется) -папкаC: даже не вижу папку ( readразрешение NTFS применено должным образом)
В4: На какие еще настройки мне следует обратить внимание?
решение1
Q1
Нет, это не нормально, если только у вас не включен анонимный доступ по FTP в IIS. Если вы отключите это, то доступ будет оцениваться на основе списков ACL NTFS и списков ACL SMB Share. Лучше всего предоставить Everyoneполный доступ к спискам ACL Share и контролировать доступ через разрешения NTFS. Я думаю, что это может быть тем, что вас сбивает с толку. Скорее всего, ваши разрешения NTFS предоставляют Users(или какая-то другая широко распространенная группа) права R/W в корне общего ресурса. Рассмотрите возможность просто предоставить их Traverse Directoryвместо List Folder Contentsэтого. FTP (и все остальное, что не является SMB) игнорирует списки ACL Share. Трижды проверьте свои списки ACL NTFS и убедитесь, что они в порядке.
Q2
Это поддерживается изначально.
Q3
См. ответы выше.