Condividi tramite

Autorizzazione di autorizzazione <FTP>

Panoramica

L'elemento <authorization> consente di configurare gli account utente che possono accedere al sito o all'applicazione. Usare l'autorizzazione in combinazione con l'autenticazione per proteggere l'accesso al contenuto nel server. L'autenticazione conferma l'identità di un utente, mentre l'autorizzazione determina le risorse a cui gli utenti possono o non possono accedere.

IIS definisce due tipi di regole di autorizzazione, consenti regole e regole di negazione:

  • Le regole consenti consentono di definire gli account utente o i gruppi di utenti che possono accedere a un sito, a un'applicazione o a tutti i siti in un server.
  • Le regole di negazione consentono di definire gli account utente o i gruppi di utenti che non possono accedere a un sito, a un'applicazione o a tutti i siti in un server.

Compatibilità

Versione Note
IIS 10.0 L'elemento <authorization> non è stato modificato in IIS 10.0.
IIS 8,5 L'elemento <authorization> non è stato modificato in IIS 8.5.
IIS 8,0 L'elemento <authorization> non è stato modificato in IIS 8.0.
IIS 7,5 L'elemento <authorization> dell'elemento <system.ftpServer/security> viene fornito come funzionalità di IIS 7.5.
IIS 7.0 L'elemento <authorization> dell'elemento <system.ftpServer/security> è stato introdotto in FTP 7.0, che era un download separato per IIS 7.0.
IIS 6.0 N/D

Nota

I servizi FTP 7.0 e FTP 7.5 forniti fuori banda per IIS 7.0, che richiedevano il download e l'installazione dei moduli dall'URL seguente:

https://www.iis.net/expand/FTP

Con Windows 7 e Windows Server 2008 R2, il servizio FTP 7.5 viene fornito come funzionalità per IIS 7.5, quindi il download del servizio FTP non è più necessario.

Installazione

Per supportare la pubblicazione FTP per il server Web, è necessario installare il servizio FTP. A tale scopo, seguire questa procedura.

Windows Server 2012 o Windows Server 2012 R2

  1. Sulla barra delle applicazioni fare clic su Server Manager.

  2. In Server Manager fare clic sul menu Gestisci e quindi su Aggiungi ruoli e funzionalità.

  3. Nella procedura guidata Aggiungi ruoli e funzionalità fare clic su Avanti. Selezionare il tipo di installazione e fare clic su Avanti. Selezionare il server di destinazione e fare clic su Avanti.

  4. Nella pagina Ruoli server espandere Server Web (IIS) e quindi selezionare Server FTP.

    Nota

    Per supportare ASP. Autenticazione di appartenenza o autenticazione di Gestione IIS per il servizio FTP, sarà necessario selezionare Estendibilità FTP, oltre al servizio FTP.
    Screenshot dell'estendibilità F T P Service e F T P selezionata in un'interfaccia di Windows Server 2012. .

  5. Fare clic su Avanti e quindi nella pagina Seleziona funzionalità fare di nuovo clic su Avanti .

  6. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.

  7. Nella pagina Risultati fare clic su Chiudi.

Windows 8 o Windows 8.1

  1. Nella schermata Start spostare il puntatore fino all'angolo inferiore sinistro, fare clic con il pulsante destro del mouse sul pulsante Start e quindi scegliere Pannello di controllo.

  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.

  3. Espandere Internet Information Services e quindi selezionare Server FTP.

    Nota

    Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di Gestione IIS per il servizio FTP, sarà anche necessario selezionare Estendibilità FTP.
    Screenshot dell'estendibilità F T P Service e F T P selezionata in un'interfaccia di Windows 8.

  4. Fare clic su OK.

  5. Fare clic su Close.

Windows Server 2008 R2

  1. Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Server Manager.

  2. Nel riquadro della gerarchia Server Manager espandere Ruoli, quindi fare clic su Server Web (IIS).

  3. Nel riquadro Server Web (IIS) scorrere fino alla sezione Servizi ruolo e quindi fare clic su Aggiungi servizi ruolo.

  4. Nella pagina Selezione servizi ruolo della Procedura guidata Aggiungi servizi ruolo espandere Server FTP.

  5. Selezionare Servizio FTP.

    Nota

    Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di Gestione IIS per il servizio FTP, sarà anche necessario selezionare Estendibilità FTP.
    Screenshot dell'estendibilità F T P Service e F T P selezionata in un'interfaccia di Windows Server 2008.

  6. Fare clic su Avanti.

  7. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.

  8. Nella pagina Risultati fare clic su Chiudi.

Windows 7

  1. Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.

  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.

  3. Espandere Internet Information Services e quindi server FTP.

  4. Selezionare Servizio FTP.

    Nota

    Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di Gestione IIS per il servizio FTP, sarà anche necessario selezionare Estendibilità FTP.
    Screenshot dell'estendibilità F T P Service e F T P selezionata in un'interfaccia di Windows 7.

  5. Fare clic su OK.

Windows Server 2008 o Windows Vista

  1. Scaricare il pacchetto di installazione dall'URL seguente:

  2. Seguire le istruzioni riportate nella procedura dettagliata seguente per installare il servizio FTP:

Procedure

Come aggiungere una regola di autorizzazione FTP

  1. Aprire Gestione Internet Information Services (IIS):

    • Se si usa Windows Server 2012 o Windows Server 2012 R2:

      • Sulla barra delle applicazioni fare clic su Server Manager, scegliere Strumenti, quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows 8 o Windows 8.1:

      • Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
      • Fare clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Server 2008 o Windows Server 2008 R2:

      • Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Vista o Windows 7:

      • Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.
      • Fare doppio clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).

  2. Nel riquadro Connessioni espandere il nome del server, espandere Siti e quindi passare al sito o all'URL in cui si vuole configurare l'autorizzazione.

  3. Nel riquadro Home fare doppio clic su Regole di autorizzazione.
    Screenshot di un riquadro delle regole di autorizzazione F T P vuoto.

  4. Per aggiungere una nuova regola di autorizzazione, fare clic su Aggiungi regola consenti ... o Aggiungi regola di negazione... nel riquadro Azioni .

  5. Applicare le impostazioni di autorizzazione necessarie per il sito o l'applicazione. È necessario considerare due sezioni:

    • Consenti l'accesso a questo contenuto: usare i pulsanti di opzione per specificare che la regola di accesso verrà applicata a:

      • Tutti gli utenti
      • Tutti gli utenti anonimi
      • Ruoli o gruppi di utenti specificati (più gruppi/ruoli possono essere separati da una virgola)
      • Utenti specificati (più utenti possono essere separati da una virgola)

    • Autorizzazioni: usare la casella di controllo per specificare l'accesso in lettura o scrittura per la regola.
      Screenshot della regola di autorizzazione Aggiungi consenti con l'accesso consentito a tutti gli utenti.

  6. Fare clic su OK.

Configurazione

È possibile configurare l'elemento <authorization> a livello di sito o URL nel file ApplicationHost.config. È possibile impostare le regole di autorizzazione predefinite per l'intero server configurando le regole di autorizzazione a livello di server. È possibile rimuovere, cancellare o ignorare queste regole configurando regole più specifiche per i siti o gli URL.

Attributi

Nessuno.

Elementi figlio

Elemento Descrizione
add Elemento facoltativo.

Aggiunge una regola di autorizzazione alla raccolta di regole di autorizzazione.
remove Elemento facoltativo.

Rimuove un riferimento a una regola di autorizzazione per la raccolta di regole di autorizzazione.
clear Elemento facoltativo.

Rimuove tutti i riferimenti alle regole di autorizzazione dalla raccolta di regole di autorizzazione.

Esempio di configurazione

Nell'esempio seguente vengono illustrate diverse impostazioni di configurazione relative alla sicurezza nell'elemento <system.ftpServer> per un sito FTP. In particolare, le <location> impostazioni di questo esempio illustrano come:

  • Specificare una regola di autorizzazione FTP per l'accesso in lettura e scrittura per il gruppo administrators.
  • Specificare le opzioni di filtro delle richieste FTP che negano i file *.exe, *.bat e *.cmd.
  • Specificare i limiti delle richieste FTP per una lunghezza massima del contenuto di 1000000 byte e una lunghezza massima di URL di 1024 byte.
  • Bloccare l'accesso FTP alla directory virtuale _vti_bin, usata con le estensioni del server FrontPage.
  • Specificare le opzioni di filtro IP FTP che consentono l'accesso dalla versione 127.0.0.1 e negano l'accesso dall'intervallo 169.254.0.0/255.0.0 degli indirizzi IP.
<location path="ftp.example.com">
  <system.ftpServer>
    <security>
      <authorization>
        <add accessType="Allow" roles="administrators" permissions="Read, Write" />
      </authorization>
      <requestFiltering>
        <fileExtensions allowUnlisted="true">
          <add fileExtension=".exe" allowed="false" />
          <add fileExtension=".bat" allowed="false" />
          <add fileExtension=".cmd" allowed="false" />
        </fileExtensions>
        <requestLimits maxAllowedContentLength="1000000" maxUrl="1024" />
        <hiddenSegments>
          <add segment="_vti_bin" />
        </hiddenSegments>
      </requestFiltering>
      <ipSecurity enableReverseDns="false" allowUnlisted="true">
        <add ipAddress="127.0.0.1" allowed="true" />
        <add ipAddress="169.254.0.0" subnetMask="255.255.0.0" allowed="false" />
      </ipSecurity>
    </security>
  </system.ftpServer>
</location>

Codice di esempio

Negli esempi seguenti vengono aggiunte due regole di autorizzazione FTP per il sito Web predefinito. La prima regola consente l'accesso in lettura e scrittura per il gruppo administrators e la seconda regola nega l'accesso in lettura e scrittura per l'account guest.

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/authorization /+"[accessType='Allow',roles='administrators',permissions='Read, Write']" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/authorization /+"[accessType='Deny',users='guest',permissions='Read, Write']" /commit:apphost

Nota

È necessario assicurarsi di impostare il parametro commit su apphost quando si usa AppCmd.exe per configurare queste impostazioni. In questo modo le impostazioni di configurazione vengono confermate nella sezione relativa al percorso appropriato nel file ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection authorizationSection = config.GetSection("system.ftpServer/security/authorization", "Default Web Site");
         ConfigurationElementCollection authorizationCollection = authorizationSection.GetCollection();

         ConfigurationElement addElement = authorizationCollection.CreateElement("add");
         addElement["accessType"] = @"Allow";
         addElement["roles"] = @"administrators";
         addElement["permissions"] = @"Read, Write";
         authorizationCollection.Add(addElement);

         ConfigurationElement addElement1 = authorizationCollection.CreateElement("add");
         addElement1["accessType"] = @"Deny";
         addElement1["users"] = @"guest";
         addElement1["permissions"] = @"Read, Write";
         authorizationCollection.Add(addElement1);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim authorizationSection As ConfigurationSection = config.GetSection("system.ftpServer/security/authorization", "Default Web Site")
      Dim authorizationCollection As ConfigurationElementCollection = authorizationSection.GetCollection

      Dim addElement As ConfigurationElement = authorizationCollection.CreateElement("add")
      addElement("accessType") = "Allow"
      addElement("roles") = "administrators"
      addElement("permissions") = "Read, Write"
      authorizationCollection.Add(addElement)

      Dim addElement1 As ConfigurationElement = authorizationCollection.CreateElement("add")
      addElement1("accessType") = "Deny"
      addElement1("users") = "guest"
      addElement1("permissions") = "Read, Write"
      authorizationCollection.Add(addElement1)

      serverManager.CommitChanges()
   End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var authorizationSection = adminManager.GetAdminSection("system.ftpServer/security/authorization", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var authorizationCollection = authorizationSection.Collection;

var addElement = authorizationCollection.CreateNewElement("add");
addElement.Properties.Item("accessType").Value = "Allow";
addElement.Properties.Item("roles").Value = "administrators";
addElement.Properties.Item("permissions").Value = "Read, Write";
authorizationCollection.AddElement(addElement);

var addElement1 = authorizationCollection.CreateNewElement("add");
addElement1.Properties.Item("accessType").Value = "Deny";
addElement1.Properties.Item("users").Value = "guest";
addElement1.Properties.Item("permissions").Value = "Read, Write";
authorizationCollection.AddElement(addElement1);

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set authorizationSection = adminManager.GetAdminSection("system.ftpServer/security/authorization", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set authorizationCollection = authorizationSection.Collection

Set addElement = authorizationCollection.CreateNewElement("add")
addElement.Properties.Item("accessType").Value = "Allow"
addElement.Properties.Item("roles").Value = "administrators"
addElement.Properties.Item("permissions").Value = "Read, Write"
authorizationCollection.AddElement(addElement)

Set addElement1 = authorizationCollection.CreateNewElement("add")
addElement1.Properties.Item("accessType").Value = "Deny"
addElement1.Properties.Item("users").Value = "guest"
addElement1.Properties.Item("permissions").Value = "Read, Write"
authorizationCollection.AddElement(addElement1)

adminManager.CommitChanges()