CấuhìnhIISchomộtFTPSite–Phần4
Ngu
ồ
n:quantrimang.com.vn
Brien M. Pose
y
Quản trị mạng - Trong phần này chúng tôi sẽ kết thúc loạt bài hướng dẫn tạo
cấu hình các FTPsite bằng cách giới thiệu về sự thẩm định quyền và cấp phép
làm việc trong IIS 7 như thế nào.
Giới thiệu
Cho đến phần này, chúng tôi đã giới thiệu cho các bạn cách tạo mộtFTPsite để
người dùng có thể truy cập qua một SSL session an toàn. Sự mã hóa SSL
không yêu cầu mọi thứ như bạn có thể vẫn cho là nh
ư vậy. Không cần các cơ
chế cấp phép đúng cách, chúng ta vẫn có thể cho phép người dùng nặc danh
truy cập vào FTP site. Trong phần này, chúng tôi sẽ kết luận loạt bài này bằng
cách giới thiệu về sự cấp phép khi áp dụng cho các FTPsite trong IIS 7.0.
Sự thẩm định quyền
Bạn có thể không thực hiện thực sự bất cứ kiểu cấp phép nào trừ khi cũng thực
hiện sự thẩm định quyền.
M
ở Internet Information Services (IIS) Manager, và điều hướng trong cây giao
diện to <your server> | Sites | <your FTP site>. Tiếp đến, kích đúp vào biểu
tượng FTP Authentication được định vị ở giữa giao diện. Như những gì bạn có
thể thấy trong hình A, bạn có thể kích hoạt tùy chọn Anonymous Authentication –
Thẩm định nặc danh hoặc Basis Authentication – Thẩm định cơ bản. Với mục
đích của bài viết, chúng tôi đã kích hoạt tùy chọn Basic Authentication. Hãy kích
chuột phải vào tùy chọn Basic Authentication sau đó chọn tùy chọn Enable.
Hình A: Bạn phải kích hoạt chế độ thẩm định quyền cơ bản
Sự cấp phép
Sự cấp phép sẽ thiết lập khả năng nhận dạng người dùng, tuy nhiên chúng ta
cần một số bước để chỉ rõ xem người dùng liệu sẽ được cho phép truy cập vào
FTP site hay không. Nếu người dùng được quyền truy cập vào site thì sự cấp
phép sẽ lệnh cho người dùng thực hiện hành động mà họ
đang cố gắng.
Có một số điểm khác nhau trong vấn đề cấp phép được hỗ trợ cho các FTP site.
Bạn có thể thực hiện sự cấp phép bằng địa chỉ IP và miền hoặc bởi người dùng
và tên nhóm.
Những hạn chế tên miền và địa chỉ
Những hạn chế của tên miền và địa chỉ thường được sử dụng khi người dùng
truy cập sitemột cách nặc danh, tuy nhiên có th
ể được sử dụng kết hợp với sự
thẩm định cơ bản để cung cấp mức bảo mật mở rộng. Việc bổ sung sự hạn chế
miền hoặc địa chỉ IP được thực hiện rất dễ dàng. Với FTPsite đã được chọn,
kích đúp vào biểu tượng FTP IPv4 Address và Domain Restrictions trong cột
trung tâm.
Khi giao diện điều khiển chuyển sang Features View, kích chuột phả
i vào vùng
trống ở phần panel trung tâm, sau đó chọn Add Allow Entry hoặc Add Deny
Entry từ menu tắt. Cả hai tùy chọn này đều làm việc giống nhau, tuy nhiên một
tùy chọn sẽ tăng quyền truy cập vào một địa chỉ cụ thể hoặc một miền, trong khi
tùy chọn còn lại sẽ khóa sự truy cập.
Khi được nhắc nhở, bạn chỉ cần nhập vào địa chỉ IP hoặc tên miền mong muốn
cho rule. Như những gì có thể thấy trong hình B, bạn có thể chỉ định một hoặc
một dải địa chỉ IP.
Hình B: Bạn có thể tạo một rule cấp phép dựa trên các địa chỉ IP hoặc tên miền
Khi quan sát hình trên, bạn sẽ thấy được rằng, không có trường để chỉ định tên
miền. Lý do cho điều đó là các rule hạn chế tên miền sẽ làm thêm gánh nặng
cho máy chủ vì mỗi một kết nối sẽ yêu cầumột tra cứu DNS ngược để định rõ
tên miền được liên kết v
ới địa chỉ IP. Chính vì vậy Microsoft đã ẩn tùy chọn này
một cách mặc định.
Nếu bạn muốn kích hoạt các rule của tên miền, hãy kích phải vào vùng trống của
panel Features View, sau đó chọn Edit Feature Settings. Khi đó Windows sẽ hiển
thị một hộp thoại để cho phép bạn thiết lập hành vi mặc định cho các kết nối
không cụ thể với các tùy chọn Allow hay Deny. Bên cạnh việc điều khiển hành vi
mặc định củ
a máy chủ FTP, hộp thoại còn có cả hộp kiểm để bạn có thể sử
dụng nhằm kích hoạt những hạn chế về tên miền, xem thể hiện trong hình C.
Hình C: Bạn có thể sử dụng hộp thoại Edit IPv4 Addresses and Domain
Restriction Settings để kích hoạt những hạn chế về tên miền.
Các rule cấp phép FTP
Thông thường, nếu sẽ thực hiện thẩm định cơ bản trên các kết nối FTP thì bạn
sử dụng các rule cho phép FTP để điều khiển ai có thể thực hiện những gì. Bạn
có thể truy cập vào các rule cấp phép của FTP bằng cách chọn FTPsite của bạn
trong giao diện IIS Manager, sau
đó kích đúp vào biểu tượng FTP Authorization
Rules trong phần panel giữa của giao diện.
Khi giao diện chuyển sang Features view, bạn có thể tạo FTP Authorization Rule
bằng cách kích chuột phải vào vùng trống trong panel giữa của giao diện, sau đó
chọn Add Allow Rule hay Add Deny Rule.
Việc thiết lập một rule khá đơn giản. Nếu bạn quan sát trong hình D, bạn sẽ thấy
rằng một rule cơ bản sẽ gồm có một người dùng hoặc một nhóm ứng với rule sẽ
sử
dụng và đặc quyền. Cho ví dụ, một rule có thể được sử dụng cho All Users,
tất cả người dùng nặc danh, nhóm người dùng cụ thể (chẳng hạn như Admins,
Users, or Guests).
Hình D: Bạn phải chỉ định người dùng hoặc nhóm người dùng, sau đó chỉ định
đặc quyền
Dù bạn có thể thực hiện như vậy xong tốt hơn hết bạn không nên sử dụng các
rule cho những cá nhân riêng lẻ. Việc quản lý sự cấp phép có thể là một mối lo
ngại cho bạn. Hãy chỉ định chomột nhóm hoặc sử dụng một trong các tùy chọn
có sẵn khác.
Thiết lập sự cho phép c
ũng rất đơn giản . Tất cả những gì bạn cần thực hiện là
chọn; hộp kiểm Read, hộp kiểm write hoặc cả hai. Một thứ mà bạn cần lưu ý đó
là có nhiều mức đặc quyền ở đây. Thông thường vẫn là các cho phép NTFS sử
dụng cho thư mục mà FTPsite đang sử dụng. Bạn phải bảo đảm rằng các đặc
quyền mà mình thiết lập xuyên suố
t IIS sẽ không vấn đề gì.
Duyệt thư mục
Mặc dù vậy bạn lại không thể sử dụng các rule cho phép để điều khiển việc
duyệt thư mục. Với điều đó, bạn cần phải chọn FTPsite trong giao diện điều
khiển IIS Manager, sau đó kích đúp vào biểu tượng FTP Directory Browsing nằm
ở cột giữa.
Như những gì bạn có thể thấy trong hình E, bạn có th
ể hiển thị việc liệt kê thư
mục theo kiểu MS-DOS hoặc theo kiểu UNIX. Không có tùy chọn nào cho việc
vô hiệu hóa việc việc thư mục. Nếu bạn muốn vô hiệu hóa việc duyệt thư mục,
hãy không gán đặc quyền Read cho người dùng khi tạo rule cho phép.
Hình E: Bạn có thể tùy chỉnh việc duyệt thư mục choFTPsite để làm cho máy
chủ giống như máy chủ DOS (Windows) hoặc UNIX
Thêm vào việc điều khiển kiểu thư mục, bạn cũng có thể chọn hiển thị các thư
mục ảo, số byte có sẵn trong thư mục, 4 số hiển thị số năm, tất cả đều bằng
cách chọn các h
ộp kiểm tương ứng.
Kết luận
Như những gì các bạn thấy qua loạt bài ngày, việc thiết lập FTPsite trong IIS 7.0
diễn ra khá đơn giản. Những thứ chính mà bạn cần phải nhớ đó là sự mã hóa
SSL không cần đến sự thẩm định và sự cấp phép, và các đặc quyền (cho phép)
mà bạn thiết lập thông qua giao diện IIS không ghi đè các đặc quyền NTFS.
. Cấu hình IIS cho một FTP Site – Phần 4
Ngu
ồ
n:quantrimang.com.vn
Brien M. Pose
y
Quản trị mạng - Trong phần này chúng tôi sẽ. dẫn tạo
cấu hình các FTP site bằng cách giới thiệu về sự thẩm định quyền và cấp phép
làm việc trong IIS 7 như thế nào.
Giới thiệu
Cho đến phần này,