將Xlight FTP服務(wù)器與微軟的活動(dòng)目錄整合

Xlight FTP服務(wù)器可以和微軟的活動(dòng)目錄(Active Directory)整合,用來鑒權(quán)用戶. 用戶可以用相同的用戶名,密碼訪問FTP服務(wù)器,電子郵件服務(wù)器等等. 注意: 30-天試用期后, 只有專業(yè)版本的Xlight FTP服務(wù)器支持這個(gè)功能.

如果使用活動(dòng)目錄(Active Directory)為外部用戶鑒權(quán), 你需要到 [虛擬服務(wù)器設(shè)置]->[通用]->[虛擬服務(wù)器], 選擇選項(xiàng)"啟用外部用戶鑒權(quán)" . 單擊"設(shè)置..."鍵, 在虛擬服務(wù)器的"鑒權(quán)類型"中活動(dòng)目錄必須被選擇,如下圖所示:

當(dāng)你在服務(wù)器上打開活動(dòng)目錄設(shè)置對(duì)話框時(shí), 如果你的服務(wù)器已經(jīng)加入活動(dòng)目錄域, Xlight FTP服務(wù)器將會(huì)自動(dòng)檢測(cè)你的登錄域和搜索用戶的起始DN. 如果你沒有看到這些信息, 你必須手工配置登錄域和搜索用戶的起始DN.

如果你想只用活動(dòng)目錄檢查用戶名和密碼, 你可以選擇選項(xiàng)"只檢查用戶名和密碼". 如果你不選擇這個(gè)選項(xiàng), 活動(dòng)目錄里的user object class的另一個(gè)屬性 homeDirectory 也會(huì)被檢查和使用.

設(shè)置默認(rèn)的用戶設(shè)置

如果你不想使用AD的屬性homeDirectory作為用戶的FTP主目錄, 或者有太多AD用戶，你不想為他們每個(gè)單獨(dú)設(shè)置主目錄. 你可以使用默認(rèn)的用戶設(shè)置來設(shè)置用戶主目錄.

在活動(dòng)目錄中設(shè)置用戶的主目錄

你可以使用微軟的Active Directory用戶和計(jì)算機(jī)控制臺(tái)界面來設(shè)置用戶的主目錄, 如下圖所示. 活動(dòng)目錄屬性homeDirectory 將會(huì)被用做FTP用戶的主目錄.

注意: 如果用戶的主目錄在登錄時(shí)不存在, 用戶第一次登錄時(shí), Xlight FTP將自動(dòng)創(chuàng)建這個(gè)目錄.

在用戶主目錄使用NTFS權(quán)限

當(dāng)選項(xiàng)"在用戶主目錄使用NTFS權(quán)限"被選中后, Xlight FTP服務(wù)器將模擬登錄FTP用戶的活動(dòng)目錄賬戶. 他的主目錄訪問將受到這個(gè)用戶NTFS權(quán)限的限制. 如果這個(gè)選項(xiàng)沒有被選中,Xlight FTP服務(wù)器的系統(tǒng)賬戶或當(dāng)前登錄賬戶將被用來訪問所有用戶的主目錄.

當(dāng)選項(xiàng)"在用戶主目錄使用NTFS權(quán)限"被選中, 但是用戶不能訪問他的主目錄, 關(guān)于NTFS權(quán)限你需要檢查兩件事情:

1. 如果用戶能夠成功通過活動(dòng)目錄認(rèn)證, 但在FTP日志, 你看到日志如 "450 不能改變目錄到 /.". 這非?？赡苁荖TFS權(quán)限的問題. 你需要檢查帳戶是否有訪問這個(gè)目錄的權(quán)限. 如果主目錄是位于另一臺(tái)機(jī)器上的UNC路徑, 從這臺(tái)機(jī)器的主控桌面, 你應(yīng)該能夠通過按"Alt+Ctl+Del"鍵用這個(gè)帳戶登錄. 從主控桌面, 檢查是否他有足夠的權(quán)限訪問設(shè)置的主目錄.

2. 你不應(yīng)該將用戶的主目錄放在域控制器. 微軟的域安全策略不允許普通用戶訪問在域服務(wù)器上的資源. 盡管這個(gè)用戶能夠成功登錄到AD域, 他將不能訪問位于域服務(wù)器上的主目錄. 只有具有系統(tǒng)管理員權(quán)限的只有帳戶才能訪問域控制器上的主目錄.

兼容IIS FTP活動(dòng)目錄用戶隔離模式

Xlight FTP服務(wù)器提供了一個(gè)和IIS FTP服務(wù)器 6.0引入的活動(dòng)目錄用戶隔離模式兼容的方式. 你可以選擇選項(xiàng)"兼容IIS FTP活動(dòng)目錄用戶隔離模式". 當(dāng)這個(gè)選項(xiàng)被選中后, Xlight FTP服務(wù)器將會(huì)讀取并使用IIS FTP 活動(dòng)目錄的屬性 msIIS-FTPRoot和msIIS-FTPDir, 用它作為用戶的主目錄. 如果這兩個(gè)IIS FTP的屬性在活動(dòng)目錄里沒有被設(shè)置或不存在, 活動(dòng)目錄屬性homeDirectory 將會(huì)自動(dòng)被用做主目錄.

設(shè)置虛擬服務(wù)器的公共目錄

你可以設(shè)置虛擬服務(wù)器的公共目錄. 用戶鑒權(quán)后, 所有用戶都能夠看到并從公共目錄下載, 如下圖所示:

因?yàn)橛脩粼贏D里的主目錄隱含使用"/"作為用戶的虛擬目錄, 你不應(yīng)該使用"/"作為公共虛擬目錄. 否則因?yàn)?/"是重復(fù)的, 當(dāng)AD用戶登錄后, 他只能看到公共目錄里的內(nèi)容, 而不是他的主目錄. 在上面的圖里, 我們使用"/public"作為公共虛擬目錄. 在公共目錄使用NTFS權(quán)限

當(dāng)選項(xiàng)"在公共目錄使用NTFS權(quán)限"被選中, Xlight FTP服務(wù)器將模擬用戶的AD(活動(dòng)目錄)賬戶. 公共目錄訪問將檢查每個(gè)AD用戶的NTFS權(quán)限. 基于NTFS權(quán)限給予公共目錄更多的權(quán)限控制靈活性，它將取代公共目錄的本地FTP權(quán)限. 然而模擬用戶的AD(活動(dòng)目錄)賬戶在某些罕見的情況下可能會(huì)失敗. 如果模擬用戶失敗, 公共目錄的本地FTP權(quán)限將被使用. 因此如果你使用NTFS權(quán)限控制公共目錄的訪問, 你依然需要為公共目錄設(shè)置恰當(dāng)?shù)?最少的)本地FTP權(quán)限用于模擬AD用戶失敗的情況.

在用戶組使用NTFS權(quán)限

當(dāng)選項(xiàng)"在組目錄使用NTFS權(quán)限"被選中, Xlight FTP服務(wù)器將模擬用戶的AD(活動(dòng)目錄)賬戶. 組目錄訪問將檢查每個(gè)AD用戶的NTFS權(quán)限. 當(dāng)用戶登錄到活動(dòng)目錄, 列在這個(gè)用戶memberOf屬性里(memberOf屬性列出用戶是成員的組)的和本地FTP組相匹配的第一個(gè)組將成為這個(gè)用戶的FTP組. 在本地Xlight FTP服務(wù)器, 用戶組被創(chuàng)建后, 你可以設(shè)置組目錄.

設(shè)置LDAP Filter限制用戶搜索的范圍

你可以創(chuàng)建額外的LDAP filter以限制用戶搜索的范圍, filter 必須是用戶的LDAP屬性. 例如, 如果你想限制屬于Users組的用戶登錄, 你可以使用AD里面的memberOf屬性并設(shè)置LDAP搜索filter為memberOf=CN=Users,CN=Builtin,DC=ad-test-domain,DC=com

創(chuàng)建并允許匿名用戶訪問FTP服務(wù)器

當(dāng)用戶使用活動(dòng)目錄鑒權(quán)時(shí), 你可能希望允許使用任意密碼的匿名用戶訪問FTP服務(wù)器. 因?yàn)樵诨顒?dòng)目錄內(nèi)的用戶必須使用密碼, 匿名用戶不能創(chuàng)建在活動(dòng)目錄內(nèi).

不過你可以在本地創(chuàng)建一個(gè)用戶名是"anonymous"的匿名用戶,并在他的設(shè)置([用戶設(shè)置]->[賬號(hào)]->[外部鑒權(quán)選項(xiàng)])中選擇選項(xiàng)"忽略外部用戶鑒權(quán)", 如下圖所示. 這個(gè)本地的FTP用戶將會(huì)忽略外部用戶鑒權(quán),而使用本地FTP鑒權(quán). 他的設(shè)置也將來自本地FTP服務(wù)器.

查找活動(dòng)目錄的問題

如果你在Xlight FTP服務(wù)器與微軟的活動(dòng)目錄整合時(shí)遇到問題, 你可以選擇外部用戶認(rèn)證的選項(xiàng)"在錯(cuò)誤日志顯示調(diào)試跟蹤信息". 這個(gè)選項(xiàng)被選中后, Xlight FTP服務(wù)器的活動(dòng)目錄信息將會(huì)被寫到錯(cuò)誤日志.

這里有兩個(gè)和活動(dòng)目錄相關(guān)的常見設(shè)置錯(cuò)誤.

1. 普通用戶的主目錄被設(shè)置到位于域控制器的機(jī)器上的目錄. 因?yàn)槲④浀挠虬踩呗圆辉试S普通用戶登錄域控制器并訪問在域控制器上的資源. 盡管這個(gè)用戶能夠成功登錄AD, 登錄后他不能訪問他的主目錄. 如果你想在域控制器上訪問用戶目錄, 鏈接http://technet.microsoft.com/zh-cn/library/cc785165(WS.10).aspx 提供了步驟更改微軟默認(rèn)的域安全策略.

2. 當(dāng)在較舊的Windows系統(tǒng)上運(yùn)行Xlight FTP服務(wù)器, 例如Windows 2000, 運(yùn)行Xlight程序的賬戶必須有"Act As Part Of The Operating System" (SE_TCB_NAME) 權(quán)限. 否則活動(dòng)目錄的用戶將不能訪問他的主目錄. (SE_TCB_NAME) 權(quán)限能夠在Local Security Policy的mmc snap-in界面在LocalPolicies/User Righs Assignments下設(shè)置. 這個(gè)問題是Windows XP之前的操作系統(tǒng)限制導(dǎo)致的. 因此對(duì)于和包括Windows XP之后的操作系統(tǒng), 不需要為運(yùn)行Xlight FTP服務(wù)器的賬戶分配這個(gè)權(quán)限.

如何在活動(dòng)目錄內(nèi)安裝擴(kuò)展模版xlightFTPdUser

這里還有另外一個(gè)選項(xiàng)"使用擴(kuò)展Schema "xlightFTPdUser"". 它通過擴(kuò)展schema xlightFTPdUser, 提供了很多和Xlight FTP服務(wù)器相關(guān)的FTP用戶控制參數(shù).

當(dāng)這個(gè)選項(xiàng)被選擇后, 活動(dòng)目錄里user object class的屬性 homeDirectory將不再被使用. 相應(yīng)的來自擴(kuò)展模版xlightFTPdUser的屬性ftpHomeDirectory將被用來設(shè)置這個(gè)用戶的主目錄.

在使用這個(gè)選項(xiàng)之前, 擴(kuò)展模版xlightFTPdUser必須在活動(dòng)目錄內(nèi)被安裝. 這個(gè)安裝步驟在下面.

安裝擴(kuò)展模版xlightFTPdUser, 你首先需要打開文件AD-xlightFTPdUser.ldif替換用你的域替換所有DC=X如下圖所示. 文件AD-xlightFTPdUser.ldif可以在Xlight FTP服務(wù)器安裝目錄下的ldap目錄內(nèi)找到.

保存文件AD-xlightFTPdUser.ldif. 你可以使用工具ldifde.exe導(dǎo)入模版xlightFTPdUser到活動(dòng)目錄,如下圖所示. 你必需作為域管理員登錄才能有權(quán)限執(zhí)行下面命令.

如果上面的導(dǎo)入命令執(zhí)行成功, 你可以用MMC來檢查模版xlightFTPdUser是否被成功導(dǎo)入如下圖所示:

在MMC Snap-in, 選擇Active Directory Schema,點(diǎn)擊"Add"鍵后再點(diǎn)擊"Close"鍵,如下圖所示:

在下面的窗口如果你能夠看到類型是Auxiliary的object class xlightFTPdUser, 模版xlightFTPdUser 就已經(jīng)被成功導(dǎo)入.

你可以使用ADSI Edit在活動(dòng)目錄內(nèi)修改和Xlight FTP服務(wù)器相關(guān)的用戶屬性. ADSI Edit可以在Windows Support Tools 的產(chǎn)品CD中找到,也可以從微軟的網(wǎng)站下載. 從 MMC Snap-in 窗口, 添加 ADSI Edit 如下圖所示:

用ADSI Edit連接到你的活動(dòng)目錄. 選擇CN=Users, 你可以在右面的窗口發(fā)現(xiàn)你的用戶. 選擇你準(zhǔn)備設(shè)置Xlight FTP 服務(wù)器相關(guān)參數(shù)的用戶,如下圖所示:

按鼠標(biāo)右鍵; 點(diǎn)擊右鍵菜單選項(xiàng)"Properties". 從對(duì)話框里, 選擇并編輯Xlight FTP 服務(wù)器相關(guān)屬性如下圖所示. 這些屬性以"ftp"開頭. 你只需要修改你需要使用的屬性. 然而如果你使用屬性ftpHomeDirectory, 當(dāng)"在用戶主目錄使用NTFS權(quán)限的選項(xiàng)"沒有被選擇時(shí), 你需要同時(shí)修改屬性ftpHomePerm用來控制ftpHomeDirectory的用戶權(quán)限.

到這一步你應(yīng)該能夠使用擴(kuò)展模版xlightFTPdUser來為用戶設(shè)置Xlight FTP服務(wù)器相關(guān)的選項(xiàng).

設(shè)置FTP用戶的虛擬目錄

從Xlight FTP服務(wù)器版本3.5開始, 你可以通過使用擴(kuò)展模版xlightFTPdUser的屬性ftpVirtualPaths來為用戶設(shè)置多個(gè)虛擬目錄. ftpVirtualPaths字符串是"|"分割的虛擬目錄，實(shí)際目錄和權(quán)限的結(jié)合. 它的格式是: "虛擬目錄 | 實(shí)際目錄 | 權(quán)限". 例如,一個(gè)虛擬目錄可以是 "/files/ | C:\Downloads\ | RLS----", 其中 "/files/" 是虛擬目錄, "C:\Downloads\" 是映射到"/files/"的實(shí)際目錄, "R--L--S"是"/files/"的權(quán)限標(biāo)記. 虛擬目錄, 實(shí)際目錄和權(quán)限用"|"符號(hào)分割. 對(duì)于權(quán)限標(biāo)記的含義，你可以參考"ftpHomePerm"的描述. 注意: 虛擬目錄必須是UNIX形式的目錄，實(shí)際目錄必須是Windows形式的目錄. 參數(shù)%username%可以用于real path. %username%將會(huì)被替換成實(shí)際登錄的用戶名. 如果用戶登錄時(shí)real path不存在, Xlight FTP服務(wù)器將會(huì)自動(dòng)創(chuàng)建目錄.