Como ativar o acesso ao redirecionamento.config

2

Estou usando o Windows Server 2012 R2 como um servidor FTP. Eu adicionei um site FTP MyFtpServer. O pool de aplicativos que ele usa é MyFtpServerAppPool. O AppPool usa ApplicationPoolIdentity como identidade. Se eu usar o ftp da linha de comando para logar, recebo o seguinte resultado:

530-User cannot log in.
 Win32 error:   Access is denied.
 Error details: Filename: \?\C:\Windows\system32\inetsrv\config\redirection.config
 Error: Cannot read configuration file due to insufficient permissions

Quando eu adiciono permissão à pasta \ windows \ system32 \ inetsrv \ config adicionando a identidade dos Serviços de Rede com acesso de leitura .... então o login do FTP continua sem erro.

Mas o que eu li sobre o uso de serviços de rede como este, é que, em termos de segurança, isso seria dois passos atrás. A solução de "melhores práticas" que encontrei foi adicionar permissões usando a identidade do IIS AppPool \ MyFtpServerAppPool. No entanto, se eu fizer isso, o login do FTP falhará novamente com a mesma mensagem de erro.

Então, minha pergunta é: qual seria a melhor maneira de resolver esse problema? Obviamente, quero que a funcionalidade de FTP funcione, mas não quero reverter para medidas que não são mais consideradas como práticas recomendadas de segurança. Alguma idéia?

Adicionado: estou usando os usuários do Gerenciador do IIS

    
por Paul0515 19.08.2016 / 18:56

1 resposta

2

O servidor FTP do IIS, por padrão, é executado em Network Service , acho que alterar a identidade do pool de aplicativos não é útil, porque os serviços FTP nem sequer usam os pools de aplicativos ou os processos w3wp.exe .

Algumas pessoas recomendam usar uma conta específica para executar o serviço FTP e, em seguida, atribuir permissões a essa conta.

Você faz isso no Component Services mmc, veja um postagem no blog da Microsoft , tentei isso, mas nem vi o FTP... node sob COM+ Applications

Demorou um pouco para descobrir que eu tenho que instalar o recurso FTP Extensibility do Windows no Gerenciador de Servidores.

Depois disso, você verá o nó Microsoft FTP Publishing Service Extensibility Host . Abra as propriedades e altere a identidade para uma conta personalizada.

Acabei de escrever um script do PowerShell que habilita o FTP, cria um site e um usuário e define a identidade do serviço FTP. Defina ACLs para a nova conta nos arquivos de configuração e na raiz do ftp.

New-DemoFTPSite.ps1

    
por 20.08.2016 / 14:40