Configuration d’isolation d'utilisateur FTP dans IIS 7

  • Article

Auteur : Robert McMurray

Compatibilité

Version Notes
IIS 7.5 Le service FTP 7.5 est fourni en tant que fonctionnalité pour IIS 7.5 dans Windows 7 et Windows Server 2008 R2.
IIS 7.0 Les services FTP 7.0 et FTP 7.5 ont été expédiés hors bande pour IIS 7.0, ce qui nécessite le téléchargement et l’installation du service à partir de l’URL suivante : https://www.iis.net/downloads/microsoft/ftp.

Introduction

Microsoft a créé un service FTP entièrement réécrit pour Windows Server 2008. Ce nouveau service FTP intègre de nombreuses nouvelles fonctionnalités qui permettent aux auteurs web de publier du contenu mieux qu’auparavant et offre aux administrateurs Web davantage d’options de sécurité et de déploiement.

Ce document vous guide tout au long des différents paramètres d’isolation d'utilisateur FTP à l’aide de la nouvelle interface utilisateur FTP et en modifiant directement les fichiers de configuration IIS.

Remarque

Cette procédure pas à pas contient une série d’étapes dans lesquelles vous vous connecterez à votre site FTP à l’aide du compte administrateur local. Ces étapes doivent uniquement être suivies sur le serveur lui-même à l’aide de l’adresse de bouclage ou sur SSL à partir d’un serveur distant. Si vous préférez utiliser un compte utilisateur distinct au lieu du compte administrateur, vous devrez créer les dossiers appropriés et définir les autorisations appropriées pour ce compte utilisateur si nécessaire.

Prérequis

Les éléments suivants sont nécessaires pour effectuer les procédures décrites dans cet article :

  1. IIS 7 doit être installé sur votre serveur Windows 2008 RC0, et le gestionnaire des services d’information internet doit être installé.

  2. Le nouveau service FTP doit être installé. Vous pouvez télécharger et installer le service FTP à partir du https://www.iis.net/ site web à l’aide de l’un des liens suivants :

    • FTP 7 pour IIS 7 (x64)
    • FTP 7 pour IIS 7 (x86)

  3. Vous devez créer un dossier racine pour la publication FTP :

    • Créez un dossier à l’emplacement %SystemDrive%\inetpub\ftproot

    • Définissez les autorisations pour autoriser l’accès anonyme :

      • Ouvrez une invite de commandes.

      • Tapez la commande suivante :

        ICACLS "%SystemDrive%\inetpub\ftproot" /Grant IUSR:R /T

      • Fermez l'invite de commande.

  4. Vous devez créer des dossiers de contenu supplémentaires :

    • Créez un dossier à l’emplacement %SystemDrive%\inetpub\ftproot\LocalUser\Public
    • Créez un dossier à l’emplacement %SystemDrive%\inetpub\adminfiles

Utiliser l’assistant de site FTP pour créer un site FTP

Dans cette première section, nous allons créer un site FTP qui peut être ouvert pour l’accès en lecture seule par les utilisateurs anonymes et l’accès en lecture/écriture par le compte d’administrateur.

  1. Dans Gestionnaire IIS, dans le volet Connexions, cliquez sur le nœud Sites dans l'arborescence.

  2. Comme indiqué dans l’image ci-dessous, cliquez avec le bouton droit sur le nœud Sites dans l’arborescence et cliquez sur Ajouter un site FTP ou cliquez sur Ajouter un site FTP dans le volet Actions.
    Screenshot of the I I S Manager screen with a focus on the Add F T P Site option in the right-click drop-down menu over the Sites folder.

  3. Lorsque l’assistant Ajouter un site FTP s’affiche :

    • Entrez « Mon nouveau site FTP » dans la zone nom du site FTP , puis accédez au dossier %SystemDrive%\inetpub\ftproot que vous avez créé dans la section Conditions préalables. Notez que si vous choisissez de saisir le chemin d’accès à votre dossier de contenu, vous pouvez utiliser des variables d’environnement dans vos chemins d’accès.
    • Une fois ces éléments terminés, cliquez sur Suivant.
      Screenshot of the Add F T P Site wizard, displaying the Site Information section.

  4. Dans la page suivante de l’Assistant :

    • Normalement, vous choisiriez une adresse IP pour votre site FTP dans la liste déroulante Adresse IP, ou vous pourriez choisir d’accepter la sélection par défaut de « Tous non attribués ». Étant donné que vous allez utiliser le compte administrateur plus loin dans cette procédure pas à pas, veillez à restreindre l’accès au serveur et à entrer l’adresse IP de bouclage locale pour votre ordinateur en tapant « 127.0.0.1 » dans la zone Adresse IP.
    • Vous devez normalement entrer le port TCP/IP du site FTP dans la zone Port. Pour cette procédure pas à pas, vous choisirez d’accepter le port par défaut 21.
    • Pour cette procédure pas à pas, vous n’utiliserez pas de nom d’hôte. Vérifiez donc que la zone Hôte virtuel est vide.
    • Vérifiez que la liste déroulante Certificats est définie sur « Non sélectionné » et que l’option Autoriser SSL est sélectionnée.
    • Une fois ces éléments terminés, cliquez sur Suivant.
      Screenshot of the Add F T P Site screen's Binding and S S L Settings section with a focus on the Next option.

  5. Dans la page suivante de l’Assistant :

    • Sélectionnez Anonyme pour les paramètres d’Authentification.
    • Pour les paramètres d’autorisation, choisissez « Utilisateurs anonymes » dans la liste déroulante Autoriser l’accès, puis sélectionnez Lecture pour l’option Autorisations.
    • Une fois ces éléments terminés, cliquez sur Terminer.
      Screenshot of the Add F T P Site screen's Authentication and Authorization Information section with a focus on the Finish option.

  6. Dans le Gestionnaire d’IIS, cliquez sur le nœud du site FTP que vous avez créé ; ceci affichera les icônes de toutes les fonctionnalités FTP.
    Screenshot of the I I S Manager screen showing the My New F T P Site Home section displaying F T P features.

  7. Nous devons ajouter l’authentification de base, afin que les utilisateurs puissent se connecter. Pour ce faire, double-cliquez sur l’icône Authentification FTP pour ouvrir la page de fonctionnalité d’authentification FTP.
    Screenshot of the I I S Manager screen with a focus on the F T P Authentication option in the My New F T P Site Home section.

  8. Lorsque la page Authentification FTP est affichée, mettez en surbrillance l’authentification de base, puis cliquez sur Activer dans le volet Actions.
    Screenshot of the I I S Manager screen's F T P Authentication section with a focus on the Enable option in the Actions pane.

  9. Dans le Gestionnaire d’IIS, cliquez sur le nœud du site FTP pour afficher à nouveau les icônes de toutes les fonctionnalités FTP.

  10. Nous devons ajouter une règle d’autorisation, afin que l’administrateur puisse se connecter. Pour ce faire, double-cliquez sur l’icône Règles d’autorisation FTP pour ouvrir la page de fonctionnalité des règles d’autorisation FTP.
    Screenshot of the I I S Manager screen's F T P Authorization Rules option in the F T P section.

  11. Lorsque la page Règles d’autorisation FTP s’affiche, cliquez sur Ajouter une règle d’autorisation dans le volet Actions.
    Screenshot of the I I S Manager screen's F T P Authorization Rules section with a focus on the Add Allow Rule option in the Actions pane.

  12. Lorsque la boîte de dialogue Ajouter une règle d’autorisation s’affiche :

    • Sélectionnez Utilisateurs spécifiés, puis tapez « administrateur » dans la zone.
    • Pour Autorisations, sélectionnez Lecture et Écriture.
    • Une fois ces éléments terminés, cliquez sur OK.
      Screenshot of the Add Allow Authorization Rule dialog box.

Résumé

Pour récapituler les éléments que vous avez terminés dans cette section :

  1. Vous avez créé un nouveau site FTP nommé « Mon nouveau site FTP », avec la racine de contenu du site à l’adresse %SystemDrive%\inetpub\ftproot.
  2. Vous avez lié le site FTP à l’adresse de bouclage locale de votre ordinateur sur le port 21 et nous avons choisi de ne pas utiliser SSL (Secure Sockets Layer) pour le site FTP.
  3. Vous avez créé une règle par défaut pour le site FTP, afin d’autoriser les utilisateurs anonymes à accéder aux fichiers en « lecture ».
  4. Vous avez ajouté une règle d’autorisation qui donne au compte administrateur les autorisations « Lecture » et « Écriture » pour le site FTP.
  5. Vous avez ajouté l’authentification de base au site FTP.

Examen des nouveaux Paramètres d’isolation d'utilisateur FTP

  1. Dans le Gestionnaire d’IIS, cliquez sur le nœud du site FTP que vous avez créé ; ceci affichera les icônes de toutes les fonctionnalités FTP.

  2. Double-cliquez sur l’icône Isolation d’utilisateur FTP pour ouvrir la fonctionnalité d’isolation des utilisateurs FTP.
    Screenshot of the I I S Manager screen's My New F T P Site Home section with a focus on the F T P User Isolation option.

  3. Lorsque la page de fonctionnalité Isolation d’utilisateur FTP s’affiche, notez que vous avez cinq options différentes disponibles :
    Screenshot of the I I S Manager screen's F T P User Isolation feature page.

  4. Ces cinq options sont définies comme suit :

    • Ne pas isoler les utilisateurs. Démarrer les utilisateurs dans:

      • Répertoire racine FTP

        • Cette option spécifie que toutes les sessions FTP démarreront dans le répertoire racine du site FTP.

          Remarque

          Cette option est nouvelle dans ce serveur FTP et désactive simplement toute logique d’isolation d’utilisateur ou de démarrage du dossier.

      • Répertoire des noms d'utilisateurs

        • Cette option spécifie que toutes les sessions FTP démarreront dans le répertoire physique ou virtuel portant le même nom que l’utilisateur actuellement connecté si le dossier existe ; sinon, la session FTP démarrera dans le répertoire racine du site FTP.

          Remarque

          Cette option est identique au choix d’aucune isolation d’utilisateur dans le serveur FTP IIS 6.0. Pour plus d’informations sur l’utilisation de cette option, consultez la section « Mode ne pas isoler les utilisateurs » dans la rubrique Hébergement de plusieurs sites FTP avec isolation d’utilisateur FTP (IIS 6.0).

    • Isoler les utilisateurs. Restreindre les utilisateurs au répertoire suivant:

      • Répertoire de nom d’utilisateur (désactiver les répertoires virtuels globaux)

        • Cette option spécifie que vous souhaitez isoler les sessions utilisateur FTP dans le répertoire physique ou virtuel avec le même nom que le compte d’utilisateur FTP. L’utilisateur voit uniquement son emplacement racine FTP et est donc limité à naviguer plus haut dans l’arborescence de répertoires physiques ou virtuels. Tous les répertoires virtuels globaux créés seront ignorés.

          Remarque

          Cette option est nouvelle dans ce serveur FTP.

      • Répertoire physique du nom d’utilisateur (activer les répertoires virtuels globaux)

        • Cette option spécifie que vous souhaitez isoler les sessions utilisateur FTP dans le répertoire physique avec le même nom que le compte d’utilisateur FTP. L’utilisateur voit uniquement son emplacement racine FTP et est donc limité à naviguer plus haut dans l’arborescence de répertoires physiques. Tous les répertoires virtuels globaux qui sont créés s’appliqueront à tous les utilisateurs.

          Remarque

          Cette option est identique au choix d’aucune isolation d’utilisateur dans le serveur FTP IIS 6.0.

      • Répertoire de base FTP configuré dans Active Directory

        • Cette option spécifie que vous souhaitez isoler les sessions utilisateur FTP dans le répertoire de base configuré dans les paramètres du compte Active Directory pour chaque utilisateur FTP.

          Remarque

          Cette option est identique au choix d’une isolation d’utilisateur Active Directory dans le serveur FTP IIS 6.0.

Configuration des Paramètres d’isolation des utilisateurs par répertoires physiques

Lors de l’isolation des utilisateurs par répertoires physiques uniquement, toutes les sessions utilisateur FTP sont limitées au répertoire physique portant le même nom que le compte d’utilisateur FTP. Toutefois, les répertoires virtuels globaux qui sont créés s’appliqueront à tous les utilisateurs.

  1. Dans le Gestionnaire d’IIS, cliquez sur le nœud du site FTP que vous avez créé ; ceci affichera les icônes de toutes les fonctionnalités FTP.
  2. Double-cliquez sur l’icône Isolation d’utilisateur FTP pour ouvrir la fonctionnalité d’isolation des utilisateurs FTP.
    Screenshot of the I I S Manager screen's My New F T P Site Home section with the F T P User Isolation icon being highlighted.
  3. Lorsque la page de fonctionnalité d’isolation utilisateur FTP s’affiche, sélectionnez l’option Répertoire physique des noms d’utilisateurs (activer les répertoires virtuels globaux), puis cliquez sur Appliquer dans le volet Actions.
    Screenshot of the I I S Manager screen's F T P User Isolation section with a focus on the Apply option.

Connexion à votre site FTP

Vous pouvez maintenant vous connecter à votre site FTP à l’aide de l’isolation d’utilisateur, mais les informations suivantes s’appliquent :

  1. Si vous vous connectez anonymement à votre site FTP, votre session sera limitée au dossier « LocalUser\Public » que vous avez créé dans la section Prérequis.
  2. Si vous tentez de vous connecter à votre site FTP à l’aide du compte d’administrateur, votre demande d’ouverture de session est refusée, car le compte d’administrateur n’a pas de répertoire de base défini. Pour autoriser le compte d’administrateur à vous connecter, vous devez créer un répertoire de base pour le compte d’administrateur à %SystemDrive%\inetpub\ftproot\LocalUser\Administrator. Après quoi, si vous vous êtes connecté à votre site FTP à l’aide du compte d’administrateur, votre session est limitée au dossier « LocalUser\Administrator » que vous venez de créer.

Résumé

Pour récapituler les opérations que vous avez effectuées dans cette étape, vous avez configuré l’isolation d’utilisateur FTP à l’aide de l’option Répertoire physique des noms d’utilisateurs (désactiver les répertoires virtuels globaux). Lorsque vous utilisez ce mode d’isolation d’utilisateur, toutes les sessions utilisateur FTP sont limitées au répertoire physique portant le même nom que le compte d’utilisateur FTP, et tous les répertoires virtuels globaux créés seront appliqués à tous les utilisateurs.

Pour créer des répertoires de base pour chaque utilisateur, vous devez d’abord créer un répertoire physique sous le dossier racine de votre serveur FTP, nommé d’après votre domaine ou nommé LocalUser pour les comptes d’utilisateur locaux. Ensuite, vous devez créer un répertoire physique pour chaque compte d’utilisateur qui accédera à votre site FTP. Le tableau suivant répertorie la syntaxe des répertoires de base pour les fournisseurs d’authentification qui accompagnent le service FTP :

Types de comptes d’utilisateur Syntaxe du répertoire de base physique
Utilisateurs anonymes %FtpRoot%\LocalUser\Public
Comptes d’utilisateur Windows locaux (nécessite l’authentification de base) %FtpRoot%\LocalUser\%UserName%
Comptes de domaine Windows (nécessite l’authentification de base) %FtpRoot%\%UserDomain%\%UserName%
Comptes d’utilisateur d’authentification personnalisés du Gestionnaire IIS ou d’ASP.NET %FtpRoot%\LocalUser\%UserName%

Remarque

Dans le tableau ci-dessus, %FtpRoot% est le répertoire racine de votre site FTP ; par exemple, C:\Inetpub\Ftproot.

Remarque importante : les répertoires virtuels globaux sont activés ; tous les répertoires virtuels configurés au niveau racine de votre site FTP sont accessibles par tous les utilisateurs FTP, à condition qu’ils disposent d’autorisations suffisantes.

Configuration des Paramètres d’isolation d’utilisateur pour tous les répertoires physiques

Lors de l’isolation des utilisateurs pour tous les répertoires, toutes les sessions utilisateur FTP sont limitées au répertoire physique ou virtuel portant le même nom que le compte d’utilisateur FTP. En outre, tous les répertoires virtuels globaux créés seront ignorés. Dans cette étape, vous allez configurer l’isolation d’utilisateur pour tous les répertoires et ajouter un répertoire virtuel pour l’utilisateur administrateur.

  1. Dans le Gestionnaire d’IIS, cliquez sur le nœud du site FTP que vous avez créé ; ceci affichera les icônes de toutes les fonctionnalités FTP.

  2. Double-cliquez sur l’icône Isolation d’utilisateur FTP pour ouvrir la fonctionnalité d’isolation des utilisateurs FTP.
    Screenshot of the I I S Manager screen's My New F T P Site Home setion with the F T P User Isolation shortcut being highlighted.

  3. Lorsque la page de fonctionnalité Isolation d'utilisateur FTP est affichée, sélectionnez l’option Répertoire de nom d’utilisateur (désactiver les répertoires virtuels globaux), puis cliquez sur Appliquer dans le volet Actions.
    Screenshot of the I I S Manager screen's F T P User Isolation section have the User name directory (disable global virtual directories) option selected.

  4. Développez le nœud d’arborescence de votre site FTP, puis cliquez avec le bouton droit sur le dossier LocalUser et cliquez sur Ajouter un répertoire virtuel.

    Remarque

    Dans cet exemple, le dossier « LocalUser » est un répertoire physique, mais un répertoire virtuel peut également avoir été utilisé.

    Screenshot of the I I S Manager screen's Connections pane with a focus on the Add Virtual Directory option in the right-click drop-down menu.

  5. Lorsque la boîte de dialogue Ajouter un répertoire virtuels’affiche :

    • Entrez « administrateur » pour l’alias.
    • Entrez %SystemDrive%\inetpub\adminfiles pour le chemin d'accès physique.
    • Une fois ces éléments terminés, cliquez sur OK.
      Screenshot of the Add Virtual Directory dialog box.

Connexion à votre site FTP

Vous pouvez maintenant vous connecter à votre site FTP à l’aide de l’isolation d’utilisateur, mais les informations suivantes s’appliquent :

  1. Comme dans l’étape 3, si vous vous connectez anonymement à votre site FTP, votre session sera limitée au dossier « LocalUser\Public » que vous avez créé dans la section Prérequis.
  2. Si vous vous connectez à votre site FTP à l’aide du compte d’administrateur, votre session est limitée au répertoire virtuel « LocalUser\administrator » que vous venez de créer.

Résumé

Pour récapituler les opérations que vous avez effectuées dans cette étape, vous avez configuré l’isolation d’utilisateur FTP à l’aide de l’option Répertoire des noms d’utilisateurs (désactiver les répertoires virtuels globaux). Lorsque vous utilisez ce mode d’isolation d’utilisateur, toutes les sessions utilisateur FTP sont limitées au répertoire virtuel ou physique portant le même nom que le compte d’utilisateur FTP, et tous les répertoires virtuels globaux créés seront ignorés.

Pour créer des répertoires de base pour chaque utilisateur, vous devez d’abord créer un répertoire virtuel ou physique sous le dossier racine de votre serveur FTP, nommé d’après votre domaine ou nommé LocalUser pour les comptes d’utilisateur locaux. Ensuite, vous devez créer un répertoire virtuel ou physique pour chaque compte d’utilisateur qui accédera à votre site FTP. Le tableau suivant répertorie la syntaxe des répertoires de base pour les fournisseurs d’authentification qui accompagnent le service FTP :

Types de comptes d’utilisateur Syntaxe du répertoire de base physique
Utilisateurs anonymes %FtpRoot%\LocalUser\Public
Comptes d’utilisateur Windows locaux (nécessite l’authentification de base) %FtpRoot%\LocalUser\%UserName%
Comptes de domaine Windows (nécessite l’authentification de base) %FtpRoot%\%UserDomain%\%UserName%
Comptes d’utilisateur d’authentification personnalisés du Gestionnaire IIS ou d’ASP.NET %FtpRoot%\LocalUser\%UserName%

Remarque

Dans le tableau ci-dessus, %FtpRoot% est le répertoire racine de votre site FTP ; par exemple, C:\Inetpub\Ftproot.

Les répertoires virtuels globaux sont ignorés ; tous les répertoires virtuels configurés au niveau racine de votre site FTP sont inaccessibles aux utilisateurs FTP. Tous les répertoires virtuels doivent être définis explicitement sous le chemin d’accès du répertoire de base physique ou virtuel d’un utilisateur.