如何在IIS7上配置 FTP7并使用IIS管理凭据方式进行验证

在 Windows Server 2008 R2 发布后，gOxiA 就开始着手于相关的测试和评估。IIS 是重点测试和评估之一！而今天与大家分享的是如何在  IIS7 上配置 FTP7 使用 IIS管理凭据 方式进行身份验证。提到 MSFTP 服务，恐怕知道的人多，但是真正使用的人少！特别是 IDC 环境下多数会选择 Serv-U FTP Server，gOxiA 从 Windows Server 2008 开始就不再使用 Serv-U，原因很简单！Serv-U 不是免费的，此次 Serv-U 默认存在安全隐患。况且开放 FTP 也是为了方便自己维护网站，下载上传资料用！所以用系统自身的软件不是更好！维护也相对容易很多！但是，使用过 MSFTP 的朋友知道从  FTP7 开始，微软才为 MSFTP 设计提供了对非 Windows 身份验证功能的支持，也就是说如果我们要访问 MSFTP 则不必再在系统里添加用户帐号，而可以使用 IIS 来统一管理单独的凭据！现在我们再也不用担心，使用 MSFTP 会存在用户帐号安全隐患的问题。

这是一篇 Step by Step，所以其中涉及到的相关原理及知识内容不作过多介绍！我们将通过 IIS7 提供的 IisManagerAuth 身份验证模块来实现 IIS管理凭据的 FTP 帐号。具体步骤如下：

在 开始配置之前，我们需要修改相关目录的目录安全权限，这一步骤是必须的，否则在登录 FTP 的时候会出现错误。如下图所示，我们会看到由于权限不足导致无法读取配置文件的错误提示。而无权限读取的文件是位于 inetsrv＼config 下的 redirection.config 文件。经过 gOxiA 的测试发现即使为该文件添加了相应的权限但仍提示登录失败，最终要配置 config 目录权限，赋予 Network Service（FTP7 进程的默认帐户）有读取权限后才能正常登录。

为了简单的演示目录权限的设置过程，gOxiA 参考了 IIS.net 中相关文章的命令行，其中涉及到的 cacls 可以直接运行就可以得到参数帮助。要执行的命令行如下：

cacls c:＼windows＼system32＼inetsrv＼config /G "Network Service":R /E

配置了 config 目录权限后，请确保 “Network Service”对该目录下的 administration.config 和 redirection.config 文件有读取权限，否则请执行如下命令行：

cacls c:＼windows＼system32＼inetsrv＼config＼administration.config /G "Network Service":R /E

cacls c:＼windows＼system32＼inetsrv＼config＼redirection.config /G "Network Service":R /E

之后创建一个 FTP 的默认目录，注意请添加“Network Service”有完全控制的权限。

下面，我们开始配置 IIS7，创建一个 FTP 站点，为其启用 IisManagerAuth，并创建一个 IIS管理凭据的帐户，使其具备 FTP 相应的访问权限。

在开始之前请确认已经安装了 IIS7 的 管理服务组件，否则请进入服务器管理，单击添加角色服务，选中 IIS7 的管理服务组件，进行安装。

默认可以使用 C:＼Inetpub＼Ftproot 作为 FTP 主目录，当然也可以根据自己的需要创建或选择一个目录，但是需要注意，请赋予“Network Service”有完全控制权限。

下来我们配置 IIS7 启用 IIS管理器凭据，在启用之后才能使用 IisManagerAuth。为此，打开 IIS管理器，双击“管理服务”，选中“Windows 凭据或 IIS 管理器凭据”，最后单击右边操作列表下的“应用”。

之后使用“IIS管理器用户”创建一个 IIS 所管理的用户帐号。为此，双击“IIS 管理器用户”，单击“添加用户”，在弹出的窗体中输入用户名和密码。

上述操作一旦完成，就可以开始创建一个 FTP 站点，首先选中 IIS 管理器左边的导航窗体中的“网站”，之后单击鼠标右键，左键单击“添加 FTP 站点…”。

“站点信息”中输入 FTP 站点名称，如：Default FTP Site。并选择默认的内容目录，本例中 gOxiA 使用的是 C:＼inetpub＼ftproot，单击“下一步”。

在“绑定和 SSL 设置”中，根据需要启用虚拟主机名，注意：FTP“虚拟主机名”可能不被一些客户端所支持。此外请将 SSL 默认的配置“需要”更改为“允许”，否则如果不配置 SSL 证书并使用 SSL FTP 登录方式将导致客户端连接失败。

在 “身份验证和授权信息”配置中，更具需要选择身份验证方式，并指定一个用户和权限。如果你只允许 IIS管理器用户能够访问该 FTP 站点，那么这一步可以不配置，直接单击“完成”。方便大家的学习，本例中允许系统用户中的 Administrator 对该 FTP 有读取和写入的权限。

现在以 Windows 身份验证方式的 FTP 站点已经创建好了，下面我们可以使用 Administrator 来登录 FTP。

经过测试，创建的 FTP 站点已经正常运行，下面我们将要为该 FTP 站点添加之前创建的 IIS管理器用户 — goxia 有相应的访问权限。

首先，选中“Default FTP Site”，在内容窗体中双击“FTP 身份验证”，进入“FTP 身份验证”设置后单击右边操作中的“自定义提供程序…”，在弹出窗体中勾选“IisManagerAuth”。

启用了 IisMangerAuth 后，打开“FTP 授权规则”，添加指定的用户 — goxia，并赋予有相应的访问权限。

最后我们来使用 goxia 这个 IIS 管理器用户登录 FTP 进行测试。

如 果首次登录失败，提示无法验证用户和密码，则需要打开该 FTP 站点的“IIS 管理器权限”设置，添加 goxia 这个帐号。之后测试登录成功后再将其帐号从中删除即可。查找 IIS.net 的相关指引文档，发现默认是要执行这步配置的，但是 gOxiA 认为这一步是配置用户是否具有该 FTP 的远程管理权限的，一旦配置并启用 IIS 的远程管理服务，那么该帐号具备的权限可能会造成安全隐患。目前 gOxiA 也未完全理解。希望有网友指点一二！