Criando FTP no IIS com Isolamento de usuário pelo Active Directory

Everton Herculano

O objetivo deste artigo é descrever como criar FTP(S) no IIS para que possamos usar contas do Active Directory para autenticação no FTP. E configure o isolamento do usuário AD, para que os usuários tenham pastas pessoais individuais.

1. Instale a função no IIS e os recursos necessários.

No Gerenciador do Servidor, clique em Adicionar funções e recursos e Clique em Avançar

  • Tipo de instalação – escolha instalação baseada em função ou baseada em recurso e clique em Avançar
  • Seleção de servidor – escolha seu servidor e clique em Avançar
  • Funções do servidor – selecione Servidor Web (IIS) e confirme os recursos necessários clicando em Adicionar recursos na janela pop-up, clique em Avançar
  • Nas seções Recursos e função do servidor Web (IIS), clique em Avançar
  • Serviços de função – desmarque as funções que você não precisa, se for um servidor FTP dedicado, deixe apenas Servidor FTP/Serviço FTP e Ferramentas de gerenciamento/Console de gerenciamento IIS selecionado e clique em Avançar

Confirme e clique em instalar.

2. Criar usuários e grupos de FTP.

Abra Usuários e Computadores do Active Directory e crie os usuários como no exemplo:

  • FTPuser1
  • FTPuser2
  • FTPuser3

E crier o grupo para os usuários:

  • FTP Users

Agora adicione os usuários criados ao grupo FTP Users.

Particularmente gosto de manter organizado então criaremos uma nova Unidade Organizacional  chamada FTP e moveremos os usuarios e grupo criados para esta Unidade Organizacional.

3. Crie pastas e atribua permissões

Prepare a estrutura de pastas no local de sua preferência. Neste exemplo, usaremos o servidor de arquivos como raiz do FTP para que os usuários possam acessar as pastas FTP diretamente por meio do compartilhamento de arquivos enquanto estiverem conectados à rede da empresa.

  • Compartilhar uma pasta no servidor de arquivos
    • \\server.home.local\ftpserver
  • Defina as permissões de compartilhamento para o grupo “FTP Users” como Controle total.
  • Defina as permissões NTFS (guia de segurança) para o grupo “FTP Users” para Listar o conteúdo da pasta.

Em seguida, criaremos a pasta inicial para cada grupo de usuários que precisa ser isolado.

Por exemplo, os usuários FTPuser1 e FTPuser2 compartilharão a mesma pasta pessoal, porque são colegas e estão trabalhando com os mesmos dados e FTPuser3 é de outro departamento, então ele terá uma pasta pessoal separada.

  • \\server.home.local\ftpserver\home1
  • Adicione permissões de segurança para os usuários FTPuser1 e FTPuser2 e defina-os como Modificar.
  • \\server.home.local\ftpserver\home2
  • Adicione permissões de segurança para o usuário FTPuser3 e defina-as como Modificar.

4. Configure o IIS

Abra o Gerenciador do IIS no Painel de Controle->Ferramentas Administrativas->Gerenciador de Serviços de Informações da Internet (IIS)

No IIS Manager, expanda seu servidor, clique com o botão direito do mouse em Sites e escolha Add FTP Site…

  • Digite o nome do site: FTP
  • Caminho físico: \\server.home.local\ftpserver

Se você deseja executar o FTPS, selecione Exigir SSL e selecione seu certificado SSL, caso contrário, selecione Sem SSL.

  • Autenticação: Básico
  • Autorização: Selecione Funções ou grupos de usuários especificados no menu suspenso.
  • Digite FTP Users.
  • Marque as caixas de seleção Ler e Gravar.

Clique em Concluir.

Em seguida, configure o isolamento de usuário FTP.

No site FTP, abra Isolamento de usuário FTP.

Selecione Isolar usuários. Restrinja os usuários ao seguinte diretório:

Diretório base FTP configurado no Active Directory

e insira as credenciais do usuário que tem acesso para ler as propriedades do AD.

Clique em Aplicar.

5. Configure as propriedades AD do usuário

Abra Usuários e Computadores do Active Directory (ADUC) e modifique as propriedades de seus usuários de FTP.

Para poder modificar os atributos, primeiro no ADUC selecione Exibir e ative Recursos avançados.

Agora você deve ver a guia Attribute Editor nas propriedades do usuário.

Configure as propriedades do AD da seguinte maneira:

  • FTPuser1
    • msIIS-FTPDir: \home1
    • msIIS-FTPRoot: \\server.home.local\ftpserver 
  • FTPuser2
    • msIIS-FTPDir: \home1
    • msIIS-FTPRoot: \\server.home.local\ftpserver
  • FTPuser3
    • msIIS-FTPDir: \home2
    • msIIS-FTPRoot: \\server.home.local\ftpserver

6. Firewall

Abra o aplicativo chamado Windows Firewall com Segurança Avançada

Selecione as opções de regras de entrada e certifique-se de que as regras ftp estão habilitadas.

Mesmo que as regras de firewall FTP estejam em vigor, existe a possibilidade de que sua conexão seja bloqueada.

Crie uma nova regra de firewall inbound.

Selecione a opção TCP.

Selecione a opção de portas locais específicas.

Digite a porta TCP: 20-21

Digite uma descrição da regra do firewall.

Clique em Concluir.

7. Teste

Para testar o login, usaremos o cliente FileZilla FTP.

Configure a conexão da seguinte maneira.

  • Host: endereço do seu servidor FTP
  • Protocolo: Protocolo de transferência de arquivos FTP
  • Porta: 21
  • Criptografia: se o seu FTP exigir SSL, selecione Exigir FTP explícito sobre TLS, caso contrário, selecione Usar apenas FTP simples. (inseguro)
  • Tipo de logon: Pedir a senha.
  • Usuário: ftpuser1

Clique em Conectar, digite sua senha e clique em OK.

8. Conclusão

Se tudo correr como planejado, os usuários FTPuser1 e FTPuser2 devem fazer login na pasta \\server.home.local\ftpserver\home1 e o usuário FTPuser3 deve fazer login em \\server.home.local\ftpserver\home2.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *