Combinando permissões de AD com FTP

1

Estamos usando o Windows Server 2008 com o Active Directory controlando o acesso a um compartilhamento de rede. Nós configuramos o FTP para que as pessoas possam acessar esse compartilhamento de fora (nós costumávamos usar o PPTP VPN, mas por várias razões, precisamos mudar para o FTP). Até agora, aqui está o que conseguimos implementar no FTP:

-O compartilhamento de rede é usado como a raiz de FTP (definida como UNC) e está funcionando bem.
- A autenticação do AD está funcionando bem (senha incorreta e você fica de fora, boa senha, gerenciamento de senhas no AD corretamente sincronizado com o FTP). - As permissões do AD estão falhando: as permissões do AD no conteúdo da raiz do FTP são ignoradas: é um usuário apenas com acesso de leitura ou gravação, mas isso se aplica a toda a raiz FTP, que obviamente não é t adequado desde que a raiz do FTP é inicialmente o nosso compartilhamento de rede e arquivos / pastas têm diferentes permissões do AD dependendo dos grupos das pessoas ...

Se definirmos as permissões por meio do compartilhamento OU da interface de gerenciamento de FTP, as permissões do AD nunca serão aplicadas.

Q1: Isso é normal?
Q2: Se sim, quais soluções existem para combinar as permissões do AD com o FTP no servidor MS 2008?
Q3: se não, onde devo procurar para corrigir a configuração?

1ª atualização:
Seguindo a resposta do MarkM, fiz o seguinte: -Configure as permissões NTFS no compartilhamento (que também é a raiz do FTP) para List folder contents for Domain users
-Defina o FTP Authorization Rules to Specified roles or user groups = Domain Users com Permissions = Read (antes que write também fosse habilitado e, portanto, porque as permissões NTFS foram provavelmente substituídas).

Eu então criei 3 pastas com as seguintes permissões NTFS:
- folderA : hereditário, nada mais
- folderB : não herdável, Full control to Domain users
- folderC : não herdável, sem permissões para Domain users

Via FTP, as permissões de leitura NTFS são aplicadas corretamente, no entanto, as permissões de gravação não são:
- folderA : pode ver a pasta, pode abri-la e fazer o download do conteúdo, não pode fazer o upload para ela | - folderB : pode ver a pasta, pode abri-la e baixar seu conteúdo, não pode fazer upload para ela (NTFS write permission NÃO é aplicado) - folderC : não é possível ver a pasta (a permissão NTFS read foi aplicada corretamente)

Q4: Quais outras configurações eu deveria estar olhando?

    
por Max 17.11.2011 / 17:59

1 resposta

2

Q1
Não, isso não é normal, a menos que você tenha acesso FTP anônimo ativado no IIS. Se você desabilitar isso, o acesso será avaliado com base nas ACLs do NTFS e nas ACLs de Compartilhamento SMB. As práticas recomendadas são fornecer Everyone Controle total nas ACLs de compartilhamento e controlar o acesso por meio das permissões de NTFS. Eu acho que isso pode ser o que está te enganando. Provavelmente, suas permissões NTFS fornecem Users (ou algum outro grupo amplamente populado) R / W na raiz do compartilhamento. Considere apenas dar a eles Traverse Directory e List Folder Contents . FTP (e qualquer outra coisa que não seja SMB) ignora as ACLs de compartilhamento. Triplo verifique suas ACLs NTFS e verifique se elas estão em ordem.

Q2
Isto é suportado nativamente

Q3
Veja as respostas acima.

    
por 17.11.2011 / 18:17