Ladíme Windows Home Server 2011 – OS za tisíc korun II | Kapitola 4
Seznam kapitol
Rozběhat na vlastním serveru operační systém od Microsoftu není nic těžkého. Navíc to vychází docela levně. Jaká úskalí můžete potkat při základním nastavení, jsme si ukázali v minulém díle. Dnes si probereme multimédia, centrální administraci, FTP a WSUS. Uzavřeme tím stavbu vlastního mini serveru.
Jakmile vytvoříte FTP službu, objeví se vlevo pod Sites. Nyní tuto službu můžete administrovat.
Některé položky vysloveně kopírují nastavení vyžadovaná při vytváření služby. Jsou zde ale i další, která stojí za pozornost:
FTP Current Sessions – zobrazuje v současnosti aktivní připojení. Zde můžete vidět, kdo je připojen, a můžete tato připojení také násilně ukončit
FTP Firewall Support – zde můžete nastavit externí IP adresu vaší sítě, čímž umožníte pasivní FTP přenosy
FTP Logging – nastavení logování událostí (např. připojení klienta). Umožňuje vytvářet logy např. každý den, zvolit rozsah logování atp
FTP Messages – nastavení zpráv, které budou zasílány klientovi, např. uvítací zprávy
FTP Request Filtering umožňuje nadefinovat, že některé typy akcí nebudou povoleny.
- File Name Extensions – některé typy souborů budou zamítnuty. Např. zablokováním koncovky EXE efektivně znemožníte nahrání spustitelných souborů na server
- Hidden Segments – umožňuje skrýt ve struktuře souborů ty adresáře, jejichž název odpovídá zvolenému textu. Např. po zadání „Testovaci“ nebude adresář Testovaci na FTP vůbec vidět a nebude do něj umožněn přístup.
- Denied URL Sequences – podobné jako Hidden Segments, jen s tím rozdílem, že adresář sice bude vidět, ale při pokusu o přístup bude tento zablokován
- Commands – umožňuje zablokovat provádění některých FTP příkazů
FTP SSL Settings nastavuje povolení SSL. Je zde také možnost zvolit 128bit šifrování přenosů. To je bezpečnější, ale má určitý dopad na rychlost přenosu.
FTP User Isolation určuje, jak budou uživatelé izolování v přístupu ke složkám. Obecně není dobrý nápad, pokud máte více uživatelských účtů s povoleným přístupu k FTP, dovolit všem procházet všechny adresáře, protože pak si mohou navzájem číst, přepisovat nebo mazat soubory.
- FTP root directory – všichni budou začínat v rootovém adresáři FTP. Pohyb v rámci adresářové struktury nebude nijak omezen
- User name directory – uživatelé budou začínat v podadresáři, který má shodné jméno s jejich loginem. Pokud takový adresář neexistuje, budou začínat v rootu. Volba nijak neomezuje pohyb, a to i do rootového adresáře
- User name directory -– uživatelé budou začínat ve svém adresáři. Ten musí být v podsložce LocalUser, tj. např. D:\FTPko\LocalUser\Kristyna. Uživatel nemá oprávnění přistupovat do nadřazeného adresáře. Pokud adresář neexistuje, je přístup uživatele zamítnut. Anonymní uživatelé mají složku LocalUser\Public. Virtuální adresáře směřující do rootu FTP jsou zablokovány. Toto je nejbezpečnější volba
- User name physical directory – podobné jako předchozí volba, ale virtuální adresáře směřující do rootu nebudou zablokovány. Uživatel s přístupem k virtuálnímu adresáři směřujícím do rootu tak může do celé struktury FTP
- FTP home directory configured in Active Directory – tato volba nemá bez funkce Domain Controller význam
Další volby se skrývají pod pravým kliknutím myší a volbou Manage FTP Site / Advanced Settings:
Tady můžete specifikovat položky jako dobu time-outu, maximální počet současných spojení, zda dovolit čtení souborů, které ještě nebyly kompletně nahrány, nebo zda na serveru ponechat soubory i v případě, že se jejich kompletní nahrání nezdařilo.
Přístupová práva k adresářům na FTP
Protože má každá složka ve Windows svoje přístupová práva, podíváme se i na ně. Pokud vytvoříte na oddílu D:\ nějakou složku, získá díky dědění práv z nadřazených objektů automaticky přístupová práva pro skupinu Authenticated users:
Tato skupina není standardní skupinou. Je to totiž skupina, jejímž členem se uživatelé stávají dynamicky na základě autorizovaného přihlášení. Pokud tedy vytvoříte uživatelské účty pro přístup k FTP službě a těmto účtům povolíte přístup k FTP, po nalogování se stanou součástí skupiny Authenticated Users. Nestanou se jimi ovšem napořád, ale jen pro danou session. Pokud prohlásíte adresář na disku D:\ (např. D:\FTPko) jako FTP root, pak uživatelé autorizací získají k této složce přístup.
To samé se ale nestane, pokud daná složka nebude mít přístupová práva pro Authenticated Users. To se děje např. u složek na C:\, ale také u složek na D:\ServerFolders, kde tyto nadřazené adresáře nemají práva pro Authenticated Users nastavená. Výsledkem bude, že přístup se bude řídit podle standardních uživatelských skupin a uživatelé FTP služby se pravděpodobně nebudou moct do těchto adresářů dostat.
Mnou vytvořený uživatel FTPuser1 je standardně členem skupiny Users. Protože složka D:\FTPko povoluje skupině Users přístup, ale jen pro čtení, uživatelé FTP služby se do této složky dostanou, ale nebudou do ní moci zapisovat. A to ani v případě, kdy jim tato práva v FTP Authrization rules explicitně nastavíte.
Mohlo by se zdát, že řešením je prostě na cílové adresáře aplikovat přístup pro Authenticated Users. Osobně ale toto řešení nedoporučuji a namísto toho bych raději pro jednotlivé adresáře nastavil uživatelům práva separátně. S pomocí dědění to není nic pracného.
Virtuální adresáře (Virtual Directory)
Na vašem FTP můžete zřídit virtuální adresáře. To jsou v podstatě odkazy na fyzické adresáře umístěné jinde než v adresářové struktuře FTP.
U již vytvořené FTP služby klikněte pravým tlačítkem a zvolte Add Virtual Directory...
Následně do položky Alias zadejte název, pod kterým se bude odkaz v FTP struktuře zobrazovat. Physical path je pak cesta k adresáři na disku. Pokud zvolíte Connect as..., FTP služba bude přistupovat do adresáře pod zvoleným uživatelským účtem. To může být výhodné např. pro účely omezení přístupu jen do některých podsložek daného fyzického adresáře nebo pro účely zamezení zápisu / změny dat. V případě Pass-through authentication bude přístup probíhat pod tím uživatelem, pod kterým došlo k nalogování (tuto volbu doporučuji).
Po vytvoření virtuálního adresáře se objeví nová odrážka ve stromové struktuře vlevo a to s vlastními administrátorskými přístupy. Můžete tak přístup k dané virtuální složce povolit jen pro některé z uživatelů, kteří mají přístup na FTP, a případně omezit možnosti čtení / zápisu. Aby všechno fungovalo, je nutné nastavit fyzickým adresářům přístupová práva pro zvolené uživatele (alternativně Authenticated Users).
Jakmile toto dokončíte, uživatel má k fyzickému adresáři přístup přes virtuální složku. Má to ovšem ještě jeden háček, složka nebude v FTP struktuře viditelná. Proto vytvořte adresář, jehož jméno bude identické se jménem virtuálního adresáře. V ten okamžik bude složka běžně vidět a bude k ní přístup jako k jakékoli jiné složce v FTP (cesty dovnitř i ven budou virtualizovány).
FTP Virtual Host Names
IIS 7.5 umožňuje jednu zajímavou vlastnost, a sice provozovat více FTP služeb na jediném portu a tyto odlišovat podle uživatelského jména. Jak na to? Vytvořte novou FTP službu stejně jako v příkladu výše, jen zadejte Virtual Host:
FTP nasměrujte do adresáře na disku, např. D:\pictures a nastavte možnost loginu zvolenému uživateli. Nyní vytvořte druhou službu s odlišným Virtual Host, odlišným adresářem na disku, ale stejným uživatelem. Nyní se nalogujte následujícím stylem:
virtualhost|username
Po zadání hesla se připojíte do adresáře náležejícího virtuálnímu hostovi.
Komentáře naleznete na konci poslední kapitoly.
