第11章创建与管理FTP服务

1、网络操作系统第11章 创建与管理FTP服务l FTP简介l 安装与测试FTP站点l 配置FTP服务器l 创建用户隔离的FTP站点11.1 FTP简介l FTP（File Transport Protocol，文件传输协议）用于实现客户端与服务器之间的文件传输，尽管Web 也可以提供文件下载服务，但是FTP服务的效率更高，对权限控制更为严格，因此，仍然被广泛应用于Internet/Intranet客户提供文件下载服务，同时也是最为安全的Web网站内容更新手段。FTP最初与WWW服务和E-mail服务一起被列为因特网的三大应用，可见其在网络应用中的地位举足轻重。 l FTP有两个意思，其中一个指文

2、件传输服务，FTP提供交互式的访问，用来在远程主机与本地主机之间或两台远程主机之间传输文件。另一个意思是指文件传输协议，是Internet上使用最广泛的文件传输协议，它使用客户端/服务器模式，用户通过一个支持FTP协议的客户端程序，连接到在远程主机上的FTP服务器程序，用户通过客户机程序向服务器程序发出命令，服务器程序执行用户所发出的命令，并将执行的结果返回到客户端。l Internet是一个非常复杂的计算机环境，有PC，有工作站，有MAC，有大型机，这些计算机运行不同的操作系统，有运行Unix的服务器，也有运行Dos、Windows的PC机和运行Mac OS的苹果机等，要实现传输文件，并不是

3、一件容易的事。基于不同的操作系统有不同的FTP应用程序，而所有这些应用程序都遵守FTP协议，这样任何两台Internet主机之间可通过FTP复制拷贝文件。l 在FTP的使用当中，用户经常遇到两个概念：“下载”（Download）和“上传”（Upload）。“下载”文件就是从远程主机拷贝文件至自己的计算机上，“上传”文件就是将文件从自己的计算机中拷贝至远程主机上，用Internet语言来说，用户可通过客户端程序向（从）远程主机上传（下载）文件。l 在Internet上有两类FTP服务器：一类是普通的FTP服务器，连接到这种FTP服务器上时，用户必须具有合法的用户名和口令。另一类是匿名FTP服务器

4、，所谓匿名FTP，是指在访问远程计算机时，不需要账户或口令就能访问许多文件、信息资源，用户不需要经过注册就可以与它连接，并且进行下载和上载文件的操作，通常这种访问限制在公共目录下。系统管理员建立了一个特殊的用户ID，名为anonymous，Internet上的任何人在任何地方都可使用该用户ID。l 当远程主机提供匿名FTP服务时，会指定某些目录向公众开放，允许匿名存取。系统中的其余目录则处于隐匿状态。作为一种安全措施，大多数匿名FTP主机都允许用户从其下载文件，而不允许用户向其上载文件，也就是说，用户可将匿名FTP主机上的所有文件全部拷贝到自己的计算机上，但不能将自己计算机上的任何一个文件拷贝

5、至匿名FTP主机上。即使有些匿名FTP主机确实允许用户上载文件，用户也只能将文件上载至某一指定上载目录中。随后，系统管理员会去检查这些文件，他会将这些文件移至另一个公共下载目录中，供其它用户下载，利用这种方式，远程主机的用户得到了保护，避免了有人上载有问题的文件。l FTP命令是Internet用户使用最频繁的命令之一，不论是在DOS还是UNIX操作系统下使用FTP，都会遇到大量的FTP内部命令。熟悉并灵活应用FTP的内部命令，可以大大方便使用者，并收到事半功倍之效。FTP命令连接成功，系统将提示用户输入用户名及口令：l User：（输入合法的用户名或者anonymous）；l Passwor

6、d：（输入合法的口令，若以anonymous方式登录，一般不用口令）。l 进入连接的FTP站点后，用户就可以进行相应的文件传输操作了，FTP命令有其中一些重要的命令如下。（1）help、?、rhelpl help显示LOCAL端本地端）的命令说明，若不接受则显示所有可用命令；l ?相当于help，例如?cd；l rhelp同help，只是它用来显示REMOTE端（远程端）的命令说明。（2）ascii、binary、image、typel ascii切换传输模式为文字模式；l binary切换传输模式为二进制模式；l image相当于binary；l type用于更改或显示目前传输模式。（1）h

7、elp、?、rhelpl help显示LOCAL端cdC:ftp Connected to .220 GlobalSCAPE Secure FTP Server (DOWNLOADER 2)User (:(none): anonymous331 Password required for anonymous.Password:230 Login OK. Proceed.ftpl 2、利用浏览器访问FTP站点l Microsoft的Internet Explorer和Netscape的Navigator也都

8、将FTP功能集成到浏览器中，可以在浏览器地址栏输入一个FTP地址（如ftp:/ ）进行FTP匿名登录，如图11-3所示，这是最简单的访问方法。l 3、利用FTP客户端软件访问FTP站点l FTP客户端软件以图形窗口的形式访问FTP服务器，操作非常方便，不像字符窗口的FTP的命令复杂、繁多。目前有很多很好的FTP客户端软件，比较著名软件主要有CuteFTP、LeapFTP、FlashFXP等。如图11-4所示，就是利用CuteFTP软件连接到这个FTP站点，操作窗口与windows的资源管理器相似。11.3 配置FTP服务器l IIS安

9、装完成后，系统会自动建立一个“默认FTP站点”，可以直接利用它来作为自己的FTP站点，或者自己新建立一个FTP站点。本节将利用“默认FTP站点”（IP地址： ）来说明FTP站点的配置。l 1、主目录与目录格式列表l 计算机上每个FTP站点都必须有自己的主目录，可以设定FTP站点的主目录。选择“Internet信息服务管理器”“FTP站点”“默认FTP站点”选项，右击，选择“属性”命令，弹出“默认FTP站点属性”对话框，选择“主目录”选项卡，如图11-5所示，有三个选项区域。l （1）“此资源的内容来源”选项区域: 该选项卡有两个选项： 此计算机上的目录：系统默认FTP站点

10、的默认主目录位于LocalDrive:inetpubftproot。 另一台计算机上的目录：将主目录指定到另外一台计算机的共享文件夹，同时需单击“连接为”按钮，来设置一个有权限存取此共享文件夹的用户名和密码，如图11-6所示。l （2）“FTP站点目录”选项区域:可以选择本地路径或者网络共享，同时可以设置用户的访问权限，共有三个复选框： 读取：用户可以读取主目录内的文件，例如可以下载文件。 写入：用户可以在主目录内添加、修改文件，例如可以上传文件。另外，创建虚拟目录或虚拟网站时，只对特权用户开放“写入”权限。 记录访问：启动日志，将连接到此FTP站点的行为记录到日志文件内。l （3）“目录列表

11、样式”选项区域:该区域用来设置如何将主目录内的文件显示在用户的屏幕上，有两种选择： MS-DOS：这是默认选项，显示的格式如图11-7所示，以两位数字显示年份。 UNIX：显示的格式如图11-8所示，以四位数格式显示年份，如果文件日期与FTP服务器相同，则不会返回年份。l 2、FTP站点标识、连接限制和日志记录l 选择“Internet信息服务管理器”“FTP站点”“默认FTP站点”选项，右击，选择“属性”选项，弹出“默认FTP站点属性”对话框，选择“FTP站点”选项卡，如图11-9所示，有三个选项区域：l （1）“FTP站点标识”选项区域:该区域要为每一个站点设置不同的识别信息： 描述：可以

12、在文本框中输入一些文字说明。 IP地址：若此计算机内有多个IP地址，可以指定只有通过某个IP地址才可以访问FTP站点。 TCP端口：FTP默认的端口是21，可以修改此号码，不过修改后，用户要连接此站点时，必须输入端口号码。l （2）“FTP站点连接”选项区域:该区域用来限制同时最多可以有多少个连接。l （3）“启用日志记录”选项区域:该区域用来设置将所有连接到此FTP站点的记录都存储到指定的文件。l 3、FTP站点消息设置l 设置FTP站点时，可以向用户FTP客户端发送站点的信息消息。该消息可以是用户登录时的欢迎用户到FTP站点的问候消息、用户注销时的退出消息、通知用户已达到最大连接数的消息或

13、标题消息。对于企业网站而言，这既是一种自我宣传的机会，也显更有人情味，对客户提供了更多的人文关怀。l 选择“Internet信息服务管理器”“FTP站点”“默认FTP站点”选项，右击，选择“属性”命令；弹出“默认FTP站点属性”对话框，选择“消息”选项卡，如图11-10所示。 标题：当用户连接FTP站点时，首先会看到设置在“标题”列表框中的文字。标题消息在用户登录到站点前出现，当站点中含有敏感信息时，该消息非常有用。可以用标题显示一些较为敏感的消息。默认情况下，这些消息是空的。 欢迎：当用户登录到FTP站点时，会看到此消息。欢迎信息通常包含下列信息如：向用户致意、使用该FTP站点时应当注意的问

14、题、站点所有者或管理者信息及联络方式、站点中各文件夹的简要描述或索引页的文件名、镜像站点名字和位置、上传或下载文件的规则说明等。 退出：当用户注销时，会看到此消息。通常为表达欢迎用户再次光临，向用户表示感谢之类的内容。 最大连接数：如果FTP站点有连接数目的限制，而且目前连接的数目已经达到此数目，当再有用户连接到此FTP站点时，会看到此消息。l 4、验证用户的身份l 根据自己的安全要求，可以选择一种IIS验证方法，对请求访问自己的FTP站点的用户进行验证。FTP身份验证方法有两种：匿名FTP身份验证和基本FTP身份验证。l （1）匿名FTP身份验证l 可以配置FTP服务器，以允许对FTP资源进

15、行匿名访问。如果为资源选择了匿名FTP身份验证，则接受对该资源的所有请求，并且不提示用户输入用户名或密码。因为IIS将自动创建名为IUSR_computername的Windows用户账户，其中computername是正在运行IIS的服务器的名称，这和基于Web的匿名身份验证非常相似。如果启用了匿名FTP身份验证，则IIS始终先使用该验证方法，即使已经启用了基本FTP身份验证也是如此。l （2）基本FTP身份验证l 要使用基本FTP身份验证与FTP服务器建立FTP连接，用户必须使用与有效Windows用户账户对应的用户名和密码进行登录。如果FTP服务器不能证实用户的身份，服务器就会返回一条错

16、误消息。基本FTP身份验证只提供很低的安全性能，因为用户以不加密的形式在网络上传输用户名和密码。l 选择“Internet信息服务管理器”“FTP站点”“默认FTP站点”选项，右击，选择“属性”命令，弹出“默认FTP站点属性”对话框，选择“安全账户”选项卡，如图11-11所示。 l 如果在图11-11中选中了“只允许匿名连接”复选框，则所有的用户都必须利用匿名账户来登录FTP站点，不可以利用正式的用户账户和密码。反过来说，如果取消选中“允许匿名连接”复选框，则所有的用户都必须输入正式的用户账户和密码，不可以利用匿名登录。l 5、通过IP地址来限制FTP连接l 可以配置FTP站点，以允许或拒绝特

17、定计算机、计算机组或域访问FTP站点。具体的操作步骤为：选择“Internet信息服务管理器”“FTP站点”“默认FTP站点”选项，右击，选择“属性”命令，弹出“默认FTP站点属性”对话框，选择“目录安全性”选项卡，如图11-14所示。其设置方法与网站类似，在前面的章节已经介绍过，这里不再赘述。l 6、磁盘限额l 当赋予FTP客户写入权限时，往往会导致用户权限的滥用。许多用户可能会无视系统管理员的警告，将大量文件保存在FTP服务器，从而导致宝贵的硬盘空间被迅速占用。因此，限制每个用户写入的数据量就成为一种必要。l 虽然FTP服务本身并没有提供磁盘限额功能，但是可以借助Windows的NTFS磁

18、盘限额功能实现。若欲在FTP站点赋予用户写入权限，应当启用磁盘限额功能。当然，FTP主目录必须位于NTFS系统分区，FAT32是无法设置磁盘配额的。l 为不同的用户组分别设置磁盘配额后，当用户上传的文件超出容量限制时，系统将自动发出警告，提示用户超出空间配额，不能完成上传操作。11.4 创建用户隔离的FTP站点l FTP用户隔离为Internet服务提供商(ISP)和应用服务提供商提供了解决方案，使他们可以为客户提供上载文件和Web内容的个人FTP目录。FTP用户隔离通过将用户限制在自己的目录中，来防止用户查看或覆盖其它用户的Web内容。因为顶层目录就是FTP服务的根目录，用户无法浏览目录树的

19、上一层。在特定的站点内，用户能创建、修改或删除文件和文件夹。FTP用户隔离是站点属性，而不是服务器属性，无法为每个FTP站点启动或关闭该属性。l Windows 2003 Server添加了“FTP用户隔离”的功能，配置成“用户隔离”模式的FTP站点，可以使用户登录后直接进入属于该用户的目录中，且该用户不能查看或修改其它用户的目录。在创建FTP站点时，IIS 6.0支持以下三种模式。l 1、不隔离用户l 该模式不启用FTP用户隔离，该模式的工作方式与以前版本的IIS类似，由于在登录到FTP站点的不同用户间的隔离尚未实施，该模式最适合于只提供共享内容下载功能的站点，或不需要在用户间进行数据访问保

20、护的站点。l 2、隔离用户l 该模式在用户访问与其用户名匹配的主目录前，根据本机或域账户验证用户，所有用户的主目录都在单一FTP主目录下，每个用户均被安放和限制在自己的主目录中。l 不允许用户浏览自己主目录外的内容，如果用户需要访问特定的共享文件夹，可以再建立一个虚拟根目录，该模式不使用Active Directory目录服务进行验证。l 注意：当使用该模式创建了上百个主目录时，服务器性能会下降。l 3、用Active Directory隔离用户l 该模式根据相应的Active Directory容器验证用户凭据，而不是搜索整个Active Directory，那样做需要大量的处理时间。将为每

21、个客户指定特定的FTP服务器实例，以确保数据完整性及隔离性。当用户对象在Active Directory容器内时，可以将FTPRoot和FTPDi，属性提取出来，为用户主目录提供完整路径。如果FTP服务能成功地访问该路径，则用户被放在代表FTP根位置的该主目录中。用户只能看见自己的FTP根位置，因此受限制而无法向上浏览目录树。如果FTPRoot或FTPDir属性不存在，或它们无法共同构成有效、可访问的路径，用户将无法访问。l 注意：该模式需要在Windows Server 2003家族的操作系统上运行Active Directory,也可以使用Windows 2000 Active Direc

22、tory，但是需要手动扩展User对象架构。l 当设置FTP服务器使用隔离用户时，所有的用户主目录都在FTP站点目录中的二级目录下。FTP站点目录可以在本地计算机上，也可以在网络共享上，前期要做的准备工作如下：l 1、创建用户账户:创建隔离用户的FTP站点，首先要在FTP站点所在的Windows Server 2003服务器中，为FTP用户创建了一些用户账户。l 2、规划目录结构:创建了一些用户账户后，开始规划文件夹结构。创建“用户隔离”模式的FTP站点，对文件夹的名称和结构有一定的要求。在此我们在NTFS分区中，创建一个文件夹作为FTP站点的主目录,然后在此文件夹下创建一个名为“localu

23、ser”的子文件夹，最后在“localuser”文件夹下创建若干个和用户账户一一对应的个人文件夹。另外，如果想允许用户使用匿名方式登录“用户隔离”模式的FTP站点，则必须在“localuser”文件夹下面创建一个名为“public”的文件夹，这样匿名用户登录以后即可进入“public”文件夹中进行读写操作。l 以上的准备工作完成后，即可开始创建隔离用户的FTP站点，具体的操作步骤如下：1）在“Internet信息服务（IIS）管理器”窗口中，展开“本地计算机”，右击“FTP站点”文件夹，选择“新建”“FTP站点”命令。2）弹出“FTP站点创建向导”对话框，单击“下一步”按钮，弹出“FTP站点描

24、述” 窗口，在“描述”文本框中输入FTP站点的描述信息，单击“下一步”按钮，如图11-13所示。3）弹出“IP地址和端口设置”窗口，在“输入此FTP站点使用的IP地址”下拉列表框中，选择主机的IP地址，在“输人此FTP站点的TCP端口”文本框中，输入使用的TCP端口，单击“下一步”按钮，如图11-14所示。4）弹出“FTP用户隔离”窗口，选择“隔离用户”单选按钮，单击“下一步”按钮，如图11-15所示。5）弹出“FTP站点主目录”窗口，单击“浏览”按钮；选择d:ftp目录，单击“下一步”按钮，如图11-16所示。6）弹出“FTP站点访问权限”窗口，在“允许下列权限”选项区域中，选择相应的权限，

25、单击“下一步”按钮，如图11-17所示。7）弹出“完成”窗口，单击“完成”按钮，即可完成FTP站点的配置。8）最后测试FTP站点：以用户名testl连接FTP站点，在IE浏览器地址栏中输入ftp：/，然后在图11-18中输入密码，连接成功后，即进入主目录相应的用户文件夹d:ftplocalusertest1窗口。l 在FTP服务器上用Active Directory隔离用户时，每个用户的主目录均可放置在任意的网络路径上。在此模式中，可以根据网络配置情况，灵活地将用户主目录分布在多台服务器、多个卷和多个目录中。l 假设FTP站点域名为info.c

26、om，IP地址为。此站点并不需要主目录，但是必须为每个用户创建一个专用的用户主目录。假设要让域cninfo内的用户testl、test2来登录FTP站点，前期要完成的准备工作如下：l 1、创建域用户的主目录l 假设将域用户的主目录设在d:ftp下（当然也可以是网络上的其他的计算机的共享文件夹），将文件夹d:ftp共享，然后在该文件夹内创建用户testl、test2的主目录为用户testldir、test2dir，为了测试方便，将一些文件复制到各自的文件夹内。l 2、在Active Directory数据库中设置用户的主目录l Windows Server 2003域的Ac

27、tive Directory数据库的用户账户内，有两个用来支持“用Active Directory隔离用户”的FTP站点属性，分别是FTPRoot和FTPDir。下面举例说明如何设置这两个属性：l 本例用来设置用户testl的FTPRoot和FTPDir属性，根据前面的表述，对于用户testl，FTPRoot应该被设置为d:ftp，也就是说FTPRoot用来指定用户主目录所在地的根目录。FTPDir应该被设置为testldir，也就是说FTPDir用来指出共享的相对路径。l 可以在命令提示符下利用程序iisftp来设置用户testl的FTPRoot和FTPDir属性，具体命令如下：D:iisf

28、tp /setadrop test1 ftproot d:ftpThe value of ftproot for user test1 has been set to d:ftpD:iisftp /setadprop test1 ftpdir testdirThe value of ftpdir for user test1 has been set to testdirD:iisftp /getadprop test1 ftprootThe value of ftproot for user test1 is:D:FTPD:iisftp /getadprop test1 ftpdirThe

29、value of ftpdir for user test1 is:testdirl 3、创建一个让FTP站点可以读取用户属性的域用户账户l FTP站点必须能够读取位于Active Directory内的域用户账户的FTPRoot和FTPDir属性，才能够得知用户主目录的位置，因此必须事先为FTP站点创建一个有权限读取这两个属性的域用户账户备用。l 可以将这个用户创建在Active Directory内的任何一个区域内，假设在ftp内创建ftpuser用户，如图11-19所示，并且想让ftp内所有的用户都可以连接到此“用Active Directory隔离用户”的FTP站点，这样就必须让ftpuser有权限读取ftp内所有用户的 FTPRoot和FTPDir属性。其设置的具体操作步骤如下：1）选择图11-19中的ftp，右击，选择“