Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article vous aide à résoudre le problème où les règles d’autorisation FTP ne sont pas héritées avec le paramètre d’isolation utilisateur si l’isolation utilisateur FTP est configurée au niveau du site.
Version du produit d’origine : Internet Information Services 7.5
Numéro de base de connaissances d’origine : 4294477
Symptômes
Dans Microsoft Internet Information Services (IIS), si l’isolation de l’utilisateur FTP est configurée au niveau du site pour le répertoire physique du nom d’utilisateur (activez les répertoires virtuels globaux), les règles d’autorisation FTP ne respectent pas le chemin d’accès physique de l’application et ne seront pas héritées conformément à la structure de dossiers.
Supposons qu’un site FTP IIS dispose d’une isolation utilisateur définie sur le répertoire physique du nom d’utilisateur (activer les répertoires virtuels globaux) et, dans la fonctionnalité d’autorisation FTP, les autorisations de lecture sont accordées à tous les utilisateurs. Un dossier nommé Upload est créé sous \FTP\Localuser\<user_name>\, et l’accès en lecture et écriture est accordé à tous les utilisateurs via la fonctionnalité d’autorisation FTP dans IIS pour ce dossier de chargement . Malgré l’autorisation d’écriture dans le dossier Charger, lorsqu’un utilisateur dont le nom d’utilisateur correspond au <dossier user_name> dans le chemin tente de charger un fichier dans le dossier Charger, l’utilisateur reçoit un message d’erreur d’accès refusé.
La sortie de la tentative de chargement d’un fichier FTP via l’utilitaire FTP de ligne de commande inclus dans Windows ressemble à ce qui suit :
ftp> cd upload
250 CWD command successful.
ftp> put c:\file_name.txt
200 EPRT command successful.
550-Access is denied.
Win32 error: Access is denied.
Error details: Authorization rules denied the access.
550 End
Cause
Ce comportement est fait exprès. Le paramètre d’isolement d’utilisateur FTP nom d’utilisateur (activer les répertoires virtuels globaux) garantit la compatibilité descendante avec les fonctionnalités IIS 6 héritées.
Résolution
Pour obtenir le comportement souhaité, utilisez un autre dossier en dehors des dossiers isolés par l’utilisateur, puis définissez les règles d’autorisation FTP requises sur ce dossier. Pour les sites FTP qui utilisent l’isolation du répertoire physique du nom d’utilisateur (activer les répertoires virtuels globaux), utilisez le FTP/Upload chemin au lieu de FTP/LocalUser/<user_name>/Upload définir les règles d’autorisation FTP. L’analyseur de répertoire ignore la partie du chemin d’accès car FTP/LocalUser/<user_name>/Upload il est utilisé pour la recherche d’isolation. Par conséquent, le comportement fonctionne uniquement comme prévu lorsque les règles d’autorisation sont définies sur des chemins en dehors des dossiers isolés de l’utilisateur, comme l’exemple de FTP/Upload chemin d’accès. De cette façon, l’autorisation s’applique au dossier Charger pour tous les utilisateurs.
Voici un exemple de règle d’autorisation dans le fichier ApplicationHost.config :
<location path="FTP/Upload">
<system.ftpServer>
<security>
<authorization>
<remove users="*" roles="" permissions="Read" />
<add accessType="Allow" users="*" permissions="Read, Write" />
</authorization>
</security>
</system.ftpServer>
</location>
Lorsque vous essayez de charger un document sur le site FTP qui a cette configuration, la sortie de l’utilitaire d’invite de commandes FTP dans Windows ressemble à ce qui suit :
ftp> cd upload
250 CWD command successful.
ftp> put c:\file_name.txt
200 EPRT command successful.
125 Data connection already open; Transfer starting.
226 Transfer complete.
ftp: 14 bytes sent in 0.00Seconds 14000.00Kbytes/sec.
Le paramètre de répertoire physique de nom d’utilisateur d’isolation utilisateur (activer les répertoires virtuels globaux) est hérité d’IIS 6 et ne suit pas la structure de dossiers correcte. Un autre mode d’isolation, répertoire de nom d’utilisateur (désactiver les répertoires virtuels globaux) est présent dans IIS 7 et versions ultérieures, et cette configuration suit les règles d’autorisation.