NUNCA MAIS PASSE RAIVA POR NÃO CONSEGUIR RESOLVER UM PROBLEMA COM O EXCEL - GARANTIDO!
UNIVERSIDADE DO VBA - Domine o VBA no Excel Criando Sistemas Completos - Passo a Passo - CLIQUE AQUI
Objetivos
Nessa segunda parte de nossos estudos sobre FTP, o objetivo é detalhar a criação de sites FTP explorando o novo recurso de isolamento de usuário do IIS 6.
Vamos estudar como estruturar as pastas dos diretórios, como configurar os isolamento de usuário e acesso autenticado. Também será visto alguns pontos sobre segurança e boas práticas para a criação e manutenção de sites FTP.
Introdução
No último capítulo, nós instalamos o serviço FTP e configuramos o Site Default para aceitar somente acesso anônimo, agora vamos nos aprofundar nos detalhes da criação de vários sites no mesmo servidor.
Seguindo o exemplo de alguns artigos que já vi na internet, vou trabalhar com um cenário hipotético - de uma empresa não tão fictícia assim chamada NETKON J - que disponibiliza sites FTP na Intranet Corporativa. Neste cenário, veremos como criar e administrar sites sem e com o isolamento de usuários proporcionados pelo IIS 6.0.
Você pode criar vários sites FTP com o uso de vários endereços IP e/ou portas. Apesar de ser uma prática comum e recomendada, a criação de vários sites com o uso de vários endereços IP pode ser mais complicada, já que, por padrão, os clientes chamam a porta 21 quando usam o protocolo FTP. Entretanto, se você criar vários sites FTP com várias portas, deverá informar os usuários sobre o número da nova porta para que o cliente FTP deles possa localizar a porta e se conectar a ela.
Se você criar um novo site com a mesma porta de um site existente com o mesmo endereço IP, o novo site não será iniciado. A regra é que você pode ter vários sites que usem IP e porta iguais, mas apenas um site desse grupo pode ser executado por vez. Se você tentar iniciar um outro site desse grupo, receberá uma mensagem de erro. Portanto, deve optar por utilizar o mesmo IP e portas diferentes ou diferentes IPs com a mesma porta de acesso.
Cenário
Em nosso exemplo, optamos por criar os sites com IPs diferentes e manter a porta padrão 21 para as conexões.
A vantagem de se diferenciar os sites FTP de um mesmo servidor por endereço IP reside na facilidade adicional de se configurar um registro HOST em seu DNS interno para atender ao site. Isso obviamente facilita o uso pelo usuário. Em nosso exemplo, nós registramos os seguintes endereços para os sites:
Tabela 1 - Dados de configuração dos sites FTP
Nunca é demais lembrar-se de que é preciso ser um membro do grupo Administradores do computador local para executar este procedimento (ou procedimentos) ou ter recebido autoridade apropriada para isso.
Nesse cenário, nosso servidor tem os IPs 172.23.192.171; 172.23.192.172; 172.23.192.173. Na verdade, eles foram adicionados à placa de rede interna; não temos no servidor uma placa para cada IP.
Apesar de atualmente existirem ferramentas mais apropriadas e completas para controle de documentações, dois departamentos que fazem bom uso do FTP são o Recursos Humanos e o Help Desk. O Recursos Humanos possue várias documentações e formulários que devem ser disponibilizados para toda a empresa para download.
Desse modo, os requisitos de segurança são mínimos já que todos podem visualizar todo o conteúdo do site. Devemos somente tomar o cuidado de atribuir ao site somente a permissão Read para impedir que alguém faça uploads de arquivos indesejados e/ou altere o conteúdo oficial dos documentos existentes.
Os detalhes do processo de criação de um site FTP com essas características foi explicado no artigo anterior. Aqui vamos acrescentar alguns detalhes que são necessários para se manter ambos os sites em funcionamento no mesmo servidor.
Já o Help Desk se utiliza de arquivos de instalação, drivers de equipamentos, etc. quase todos os dias e pela empresa toda; para o que, também é muito interessante mantê-los em um local único e de acesso por toda a corporação pelos integrantes da equipe de suporte.
Vamos assumir também que o departamento de Help Desk tem dois analistas, Felipe Konnus (fkonnus) e Eliana Borges (eborges). Precisaremos dessa informação quando criarmos o site com o recurso FTP User Islolation habilitado.
Antes de implementar este cenário, vamos revisar o Default FTP Site. Quando instalamos o serviço de FTP, o Default FTP Site é pré-configurado para responder por todos os IPs configurados no servidor (Figura 1). Isso significa que qualquer endereço IP que não esteja especificamente atribuído a outro site FTP no servidor, responderá pelo Default FTP site. Em nosso exemplo, se tentarmos abrir o FTP em ftp://172.23.192.172 ou ftp://172.23.192.173 pelo Internet Browser (Internet Explorer, por exemplo), antes de atribuirmos esses endereços aos sites que criaremos, todos esses endereços disponibilizarão o conteúdo do Default FTP site.
Figura - 1 - Propriedades do Default FTP site (Todos os IPs atribuídos).
Criação de um Site FTP
Antes de criar o site FTP para o departamento de Recursos Humanos, nós temos que realizar uma das seguintes tarefas: atribuir um endereço IP para o Default FTP site, caso ele esteja sendo utilizado para alguma coisa ou simplesmente desativá-lo.
Para fixar um endereço IP pro Default FTP Site:
» No IIS Manager, expanda o computador local e depois a pasta FTP Sites;
» Clique com o botão direito do mouse sobre o Default FTP Site e clique em Properties;
» No campo IP Address, clique e selecione o IP desejado na lista que vai parecer ou simplesmente digite-o (no nosso caso, 172.23.192.171);
» Clique em Apply e em OK;
Para desativá-lo, basta clicar com o botão direito sobre o Default FTP Sites e selecione a opção Stop do menu suspenso.
Site FTP do Recursos Humanos
1. No IIS Manager, expanda o computador local, clique com o botão direito do mouse na pasta FTP Sites, aponte para New e clique em FTP Site;
2. Clique em Next;
3. Na caixa Description, digite a descrição do site FTP (Departamento de Recursos Humanos, por exemplo) e clique em Next;
4. Em Digite o endereço IP a ser usado para este site FTP, digite o novo endereço IP (172.19.192.173) e mantenha a configuração da porta TCP em 21.
5. Adicionalmente você pode configurar as mensagens que você deseja que apareça quando a conexão for feita pela linha de comando:
Figura - 2 - Configuração de Mensagens
6. Conclua os procedimentos restantes do Assistente para criação de site FTP.
No acesso via Internet Explorer, o nome do usuário aparecerá na barra de status, na parte inferior do browser. Quando houver o acesso via linha de comando, o usuário visualizará algo parecido com a tela abaixo:
Figura - 3 - Detalhes do acesso via linha de comando
Quando o site é criado para uso público com acesso anônimo, uma auditoria satisfatória sobre seu acesso é quase impossível apesar dos logs, devido ao acesso como “anonymous”. No controle de sessões abertas no site, você somente visualizará o que ele colocar como senha de acesso anônimo – se ele fizer o acesso via linha de comando – e o user IEUser@, se o acesso vier do Internet Explorer, como na figura abaixo.
Figura - 4 - Controle de sessões abertas no site. Usuários anônimos.
Por padrão, a permissão para conexões anônimas é permitida, e isso é ótimo para sites FTP públicos, mas para sites FTP privados dentro de uma intranet corporativa, você pode querer deixar essa opção desmarcada pra prevení-las. Desabilitando a opção “Allow anonymous connections” na guia “Security Accounts” das propriedades do site FTP, ele passa a utilizar a Basic Authentication. Os usuários que tentarem o acesso ao site receberão uma caixa de diálogo de autenticação quando acessarem via Internet Explorer e em linha de comando não será mais permitido utilizar o usuário anonymous como mostra a figura abaixo.
Figura - 5 - Negação de Acesso Anônimo via Linha de Comando
Lembre-se de que a Basic Authentication passa as credenciais do usuário pela rede em clear text, o que significa que os sites FTP são, por natureza, inseguros (eles não suportam Windows Integrated Authentication). Então se você vai instalar um site FTP privado em sua rede interna, certifique-se de que fechou as portas 20 e 21 em seu firewall para bloquear tráfego de usuários externos na Internet.
Site FTP com isolamento de usuários
O fato de negarmos o acesso anônimo e solicitar credenciais de logon não significa que, após o logon, teremos um ambiente privado. Para isso precisamos configurar o site para que use o recurso de isolamento de usuários. Quando um site FTP se vale desse recurso, cada um que o acessa tem uma pasta FTP, que é um subdiretório embaixo do diretório raiz do site FTP e, da perspectiva do usuário, ele é visto como a pasta raiz. Isso significa que os usuários são impedidos de visualizar os arquivos de outros usuários em outras pastas que não a dele, fornecendo segurança para os arquivos.
Quando o site FTP está definido para isolar os usuários, todos as pastas base de usuários se localizam em uma estrutura de pastas de dois níveis no diretório do site FTP (como configurado na página de propriedades do home directory do FTP). O diretório do site FTP pode residir no computador local ou em um compartilhamento de rede, porém todos as pastas base de usuários precisam estar obrigatóriamente embaixo do diretório raiz do site.
Vamos criar um novo site FTP chamado Help Desk que se utiliza desta nova característica, usando as configurações para o site do Help Desk, descritas anteriormente na Tabela 1. Inicie o Assistente de Criação de Sites FTP como mostrado passo – a – passo no capítulo anterior e caminhe até chegar à página FTP User Isolation e selecione a opção Isolate Users desta página:
Figura - 6 - Criação de site com isolamento de usuários
Lembre-se da boa prática de retirar a permissão de acesso anônimo após a criação do site, na folha Security Accounts nas propriedades do site. Porém, se desejar permitir acesso anônimo, crie os subdiretórios LocalUser e LocalUser\Public no diretório base do site FTP.
Podemos ter na empresa, situações que nos levem à necessidade de criar contas locais em servidores para se limitar acessos a recursos. Por exemplo, podemos estar em um processo de implantação de um ERP que enche nossa empresa de consultores que necessitam de acesso a recursos específicos e por tempo específico.
Criar esses usuários em nosso Active Directory pode não ser uma boa prática. Dar a eles um usuário tipo Guest (guest_consultoriaxyz, por exemplo) no domínio e criar contas locais em servidores específicos para maiores permissões naquele recurso, pode ser uma saída mais segura.
Se houver a necessidade de se criar contas locais no servidor de FTP, para que façam logon com seus nomes de usuário da conta individual (em vez de usuários anônimos), devem ser criados os subdiretórios LocalUser e LocalUser\nome_do_usuário no diretório raiz do site FTP para cada usuário que tem permissão para se conectar a esse site FTP.
Se existem usuários de diferentes domínios que farão o logon com suas credenciais domínio\nome_do_usuário explícitas, deve ser criado um subdiretório para cada domínio (usando o nome do domínio) no diretório raiz do site FTP e, em cada diretório de domínio, deve-se criar uma pasta para cada usuário. Por exemplo, para oferecer suporte ao acesso pelo usuário NetkonRondonia\user1, crie as pastas NetkonRondonia e NetkonRondonia\user1. Veja como ficou a estrutura de pastas do nosso exemplo:
Figura - 7 - Estrutura de pastas do site FTP do Help Desk - Isolamento de Usuário
Veja como fica a visualização pelo Internet Explorer, o acesso a um site sem o isolamento de usuários e com isolamento de usuários:
Figura - 8 - Acesso autenticado ao site RH - sem isolamento de usuário
Note que, embora eu tenha sido autenticado pelo site, eu consigo visualizar todas as pastas e documentos existentes no site, inclusive a pasta do usuário acampos. Se o site estiver com a opção Write habilitada, eu posso fazer upload de qualquer arquivo que desejar para qualquer pasta, como também alterar arquivos existentes e substituí-los.
Figura - 9 - Acesso autenticado no site do Help Desk - com isolamento de usuários
Note agora com o isolamento de usuários. Apesar da estrutura de pastas do helpdesk possuir outras pastas (Figura 7), o usuário conectado enxerga sua pasta base como sendo a raiz do site, sem a possibilidade de navegar em outras pastas de usuários ou sequer enxergá-las. Note também (na barra de status), que o usuário agora está logado como domínio\usuário.
Configurando o isolamento do usuário de FTP com o Active Directory
Nós ainda precisamos explorar mais uma opção, que é a terceira na página FTP User Isolation do Assistente de Criação de Sites FTP, chamada “Isolate users using Active Directory”. Como nós não temos mais endereços IP, primeiramente vamos liberar o IP 172.23.192.171, parando o Default FTP Site. Uma maneira de fazermos isso é abrir o command prompt e digitar iisftp /stop “Default FTP Site” usando o script iisftp.vbs.
O script que nós utilizamos aqui, o Iisftp.vbs, é um dos muitos scripts administrativos do IIS disponíveis quando você instala o IIS sobre o Windows Server 2003. Uma descrição completa da sintaxe deste script pode ser encontrada no link descrito na Bibliografia. Depois que você criou um novo site FTP utilizando este script, você pode melhorar a configuração do site utilizando o IIS Manager da maneira usual.
Agora, vamos iniciar novamente o assistente de Criação de sites FTP e selecionar a terceira opção mencionada acima (vamos nomear esse novo site como Engenharia e lhe dar o IP que estava reservado para o Default FTP Site):
Clique em Next e entre com uma conta de administrador do domínio, a senha e o nome do domínio:
Clique em Next, confirme a senha e complete o assistente normalmente. Você notará que não será mais solicitado pra você especificar um diretório raiz para o novo site FTP. Isso é devido ao fato de que, quando você usa esta opção, todos os FTP home directory de usuário é definido por duas variáveis de ambiente: %ftproot%, que define o diretório raiz e pode ser qualquer lugar que inclua um caminho UNC para um compartilhamento na rede ou em qualquer outra máquina, como por exemplo, \\Engenharia\docs, e a variável %ftpdir% que pode ser configurada para %username%. Assim, no exemplo da pasta base FTP da Eliana, teremos \\Engenharia\docs\eborges e esta pasta é a que precisa ser criada antecipadamente para ela. Você pode configurar essas variáveis de ambiente usando um script de logon e atribuir o script utilizando Group Policy, mas isso está fora do escopo deste artigo.
Detalhes do Active Directory
Quando o servidor FTP é definido para isolar usuários com o Active Directory, o diretório base de cada usuário pode residir em um caminho de rede arbitrário. Neste modo, temos a flexibilidade para distribuir pastas base de usuários em vários servidores, volumes e diretórios, conforme adequado para a configuração da rede.
Também é possível definir as propriedades FTPRoot e FTPDir para um usuário formar um caminho local para o computador do servidor FTP. Este modo integra a autenticação do Active Directory ao recuperar as informações do diretório base de um usuário. Essa integração permite que se utilize a Active Directory Services Interface (ADSI) e scripts para gerenciar o local físico das pastas base dos usuários.
Este modo é mais adequado para implantações de ISPs, em que um conjunto de servidores FTP de front-end acessa um Active Directory para recuperar informações do diretório base para os usuários e permitir o acesso a um conjunto de servidores de arquivos de back-end.
O objeto User do Active Directory foi ampliado para incluir duas propriedades: FTPRoot e FTPDir. Essas propriedades armazenam o diretório base relativo e de compartilhamento do servidor de arquivos de cada usuário. A FTPRoot determina o compartilhamento do servidor de arquivos da convenção universal de nomenclatura (UNC), enquanto a FTPDir indica o caminho relativo no compartilhamento. A concatenação dessas duas propriedades resulta no caminho UNC completo para o diretório base dos usuários ou para o servidor FTP.
Essas duas propriedades correspondem às propriedades msIIS-FTPRoot e msIIS-FTPDir que foram adicionadas no schema do Active Directory na família Windows Server 2003. Elas também podem ser definidas e modificadas usando o script de administração iisftp.vbs.
Você também pode instalar o Admin Pack, disponível com o Resource Kit da família Windows Server 2003 e modificar essas propriedades usando o snap-in do Active Directory.
A configuração do isolamento do usuário usando o Active Directory envolve a configuração dos seguintes serviços correspondentes:
» Servidores de arquivo: É possível utilizar os servidores de arquivo para criar os diretórios de compartilhamentos e de usuários para todos os usuários com permissão para se conectar ao seu serviço FTP, incluindo contas anônimas. É preciso planejar o uso esperado de espaço em disco, gerenciamento de armazenamento, tráfego de rede e outros processos relacionados com a infra-estrutura do servidor.
» Active Directory: Este modo de isolamento do usuário requer a disponibilidade de um servidor do Active Directory sendo executado em um sistema operacional da família Windows Server 2003. O esquema do Active Directory da família Windows Server 2003 é o primeiro a conter as propriedades de objeto do usuário usadas pelo serviço FTP. As informações recuperadas do Active Directory com uso freqüente, são armazenadas em cache no servidor FTP. É possível limitar o tempo máximo transcorrido, antes de liberar o cache das propriedades do Active Directory correspondentes ao usuário anônimo usando o parâmetro do Registro DsCacheRefreshSecs.
Neste capítulo nós vimos em detalhes a criação e configuração de sites FTP de várias maneiras no IIS 6. Com exceção do isolamento de usuários, tudo que foi abordado aqui também se aplica ao IIS 5 sobre Windows 2000.
É possível percebermos que, conforme novas funcionalidades são adicionadas em novas versões dos aplicativos, maior se torna a complexidade de gerenciamento e necessidade de entendimento da infraestrutura da nossa rede como um todo. Neste capítulo de estudos do IIS, percebemos que precisamos dominar não só os passos da criação de um site FTP, mas também como estrutura nosso DNS para comportar os registros de nomes para os sites com a finalidade de facilitar a vida do nosso cliente (leia-se usuário). Vimos a necessidade de estruturar corretamente as pastas dos diretórios FTP e suas permissões básicas. E por último, e talvez um dos itens de maior importância, deve-se chamar a atenção do adminitrador para compreender detalhadamente os processos com a finalidade de prover a segurança necessária para o bom funcionamento da rede como um todo e seus recursos disponíveis.
Bibliografia
Se houver alguma citação neste trabalho que por acaso não esteja descrita na Bibliografia, entre em contato comigo que eu forneço o original.
» Instalando e configurando o FTP no Windows Server 2003 – Fórum do Baboo - http://www.baboo.com.br/absolutenm/print.asp?a=9358&z;
» Windows Server 2003 Service Pack 1 list of updates – KB 82421 - http://support.microsoft.com/kb/824721/ ;
» Internet Information Services (IIS) 6.0 - http://technet2.microsoft.com/WindowsServer/f/?en/Library/62f77aaa-3ea3-43b0-b1b2-7b71f559167f1033.mspx ;
» Windows Server 2003, Curso Completo – Cap. 23 – Internet Information Services 6.0 – IIS 6.0, pags 1345-1407 – Ed. Axcel Books do Brasil, 2003 – ISBN:85-7323-196-3.
» Configuring FTP Site Properties - http://technet2.microsoft.com/WindowsServer/en/Library/2cdf5e2d-f607-47a8-a1d2-d571dbb1c3401033.mspx
» Configuring FTP Server Authentication - http://technet2.microsoft.com/WindowsServer/en/Library/9291a157-d560-4108-8855-4ff3cafaa2411033.mspx
» Segurança Virtual: Firewalls: Falsa sensação de segurança – Parte 2 - http://www.secforum.com.br/article.php?sid=2776
» Problemas com FTP - http://www.openbsd.org/faq/pf/pt/ftp.html
» Referência sobre Active Directory - http://msdn.microsoft.com/library/default.asp?url=/library/en-us/ad/ad/active_directory_reference.asp;
» IISFTP.VBS e outros scripts - http://technet2.microsoft.com/WindowsServer/en/Library/Search.aspx?qu=iisftp.vbs&spvd=UserAssistance
UNIVERSIDADE DO WINDOWS SERVER E AD |
UNIVERSIDADE PRÁTICA DO WINDOWS SERVER E DO ACTIVE DIRECTORY - Planejamento, Instalação, Configurações, Administração e Segurança no Windows Server: 2019, 2016, 2012 e 2008. |
Acesso Vitalício, Novas Aulas toda Semana, Suporte à Dúvidas e Certificado de Conclusão. |
Para Todos os Detalhes, Acesse:
https://juliobattisti.com.br/windows-server-curso-completo.asp |
Contato: Telefone: (51) 3717-3796 | E-mail: webmaster@juliobattisti.com.br | Whatsapp: (51) 99627-3434
Júlio Battisti Livros e Cursos Ltda | CNPJ: 08.916.484/0001-25 | Rua Vereador Ivo Cláudio Weigel, 537 - Universitário, Santa Cruz do Sul/RS, CEP: 96816-208
Todos os direitos reservados, Júlio Battisti 2001-2024 ®
LIVRO: MACROS E PROGRAMAÇÃO VBA NO EXCEL 2016 - CURSO COMPLETO E PRÁTICO
DOMINE A PROGRAMAÇÃO VBA NO EXCEL - 878 PÁGINAS - CLIQUE AQUI