FTP mit IIS6.0 und Benutzerisolierung

[Unleashed 10]

Hallo!

 

Mich bringt gerade der IIS 6.0 zum Verzweifeln und ich hoffe Ihr könnt mir bei folgendem Problem helfen:

 

Situation:

W2K3 Server mit IIS 6.0 der als Web/Ftp-Server für mehrere Homepages eingesetzt werden soll.

 

Nach langem Suchen habe ich den Server nun soweit, dass ich mehrere Kundenhomepages mit den dazugehörigen FTP-Zugängen verwalten kann.

 

Der FTP Diesnt ist dabei mit Benutzerisolierung per Active Directory eingerichtet

um FTP Missbrauch vorzubeugen.

 

Wenn ich nun ein Benutzerkonto im AD anlege, ein dazugehöriges, gleichlautendens (!!!)Verzeichnis im Explorer anlege, dann kann ich mich mit nem' FTP Programm auch tadellos

darauf verbinden und sehe alle Unterverzeichnisse.

 

Nun hab ich aber einige Kunden die einen Webshop bei uns liegen haben und

dabei nur auf EIN Unterverzeichnis per FTP zugreifen können sollen, also nicht direkt

ins ROOT Verzeichnis des FTP Zuganges.

 

z.b:

FTPROOT

|

|--- Kunden-Ftp

|

|----- Grafiken

|----- Datenbank <-- hier soll das FTP Konto zugreifen

 

Wie kann man sowas realisieren - ich komm' immer nur ins Verzeichnis "Kunden-FTP"

kann aber nicht DIREKT ins "Datenbank" Verzeichnis weiterleiten damit der Kunde

"Grafiken" z.B. gar nicht sieht / ansprechen kann ???

 

Vielen Dank für Eure Hilfe !!!

 

Unleashed

[weg5st0 10]

Hi,

 

also ich kann mir das höchstens über NTFS Berechtigungsvergabe vorstellen (User das Recht nehmen im Root zu lesen - "Ordnerinhalte auflisten", dann muss er direkt auf den Folder gehen, oder er sieht nichts.)

 

Ich hoffe das hilft dir weiter...

[Unleashed 10]

Hallo!

 

Ja, genau so hab ich's in der Zwischenzeit auch realisiert - mich stört an dieser Lösung nur,

dass ich zumindest die Dateinamen lesen kann (durch Ordnerinhalt listen), auch wenn sonst nichts funktioniert.

 

Ich hätt' es halt gern so gehabt, dass ich dann wirklich nur den einen Unterodner sehe und nicht die komplette Struktur ...

 

Schade, tzrotzdem DANKE!

 

lg

Unleashed

[Velius 10]

Ist der FTP User isolation Mode etwas für dich?

 

 

Gruss

Velius

[weg5st0 10]

Hi Velius,

 

ich glaube das meint er mit "Benutzerisolierung". Das hat er schon...

[Velius 10]

 

Wie kann man sowas realisieren - ich komm' immer nur ins Verzeichnis "Kunden-FTP"

kann aber nicht DIREKT ins "Datenbank" Verzeichnis weiterleiten damit der Kunde

"Grafiken" z.B. gar nicht sieht / ansprechen kann ???

 

 

@weg5st0

 

Dann versteh ich aber diesen Satz nicht, bzw. das Problem. Soll er denn nur sein eigenes FTP Root sehen oder auch das öffentliche?? :suspect:

 

Und sowieso, das steht glaube ich geschireben im Artikel wie man das realisiert.

[weg5st0 10]

Hi,

 

Missverständnis:

FTPROOT bei ihm ist schon der "Userfolder". Er hat viele FTPRoots.

Jetzt will er aber daß der User nur auf einen Unterordner in der Isolations Root kommt...

[Unleashed 10]

Hi!

 

Okay - ist etwas kompliziert - drum fin ich ja auch keine Lösung!

 

Vielleicht nochmals zu Erklärung:

 

Ich hab die Benutzerisolierung schon aktiv (AD basiert) und z.B. folgende Struktur:

 

FTPROOT

Kunde1

Kunde2

Kunde3

etc.

 

Wenn jetzt Kunde2 mit seinem FTP Konto einsteigt sieht er logischerweise alle Subdirs von

Verzeichnis Kunde2, ebenso ist's bei allen anderen. Soweit sogut.

 

Jetzt habe ich aber die Situation dass Kunde1 eine simple HTML Homepage bei uns hat -

er steigt also per FTP ein und sieht seine Page.

 

Kunde2 jedoch besitzt einen von uns hausintern programmierten Shop bei dem er aber nur Zugriff auf das Verzeichnis mit seiner Datenbank haben soll - siehe folgende Struktur:

 

FTPROOT

Kunde1

Kunde2

Quellcode (gesperrt)

Einstellungsdatenbank (gesperrt)

Benutzerdatenbank (offen für FTP User Kunde2)

Kunde3

etc.

 

Und ich möchte jetzt dass der Kunde2 DIREKT in das Subdir Benutzerdatenbank in seinem FTP Account weitergeleitet wird und z.B. das Directory Quellcode gar nicht sieht.

 

Umstruktirieren kann ich die Verzeichnisse aber nicht, weil's ja sonst beim Kunde1 (der mit der normalen HP) nicht mehr funktioniert ....

 

Hoffe das machte etwas klarer!

 

Danke für Eure Hilfe!

 

lg

Unleashed

[Velius 10]

Jetzt will er aber daß der User nur auf einen Unterordner in der Isolations Root kommt...

 

 

Nochmals, wo liegt das Problem? :suspect:

 

If the FTP service successfully accesses the path, it becomes the home directory for the user. The user cannot access the file system outside this directory. The user is denied access if either the msIIS-FTPRoot or msIIS-FTPDir property does not exist, or if the resulting home directory cannot be accessed.

 

 

Also, wenn da noch was ist, wo alle User Zugriff drauf brauchen, dann erledigt man das wohl am besten über eine Art Replikation oder ein Script. Aber der Satz oben impliziert ja, dass sich alles im FTP-Homedirectory des Users befinden muss. Wo das liegt und was darin zu finden ist, ist wieder eine ganz andere Frage.

 

 

 

@Unleashed

 

Kuck dir mal den Artikel genauer an. Da steht ausdrücklich, dass pro Benutzer ein Directory angelegt sein muss, und dass dieses auch nur durch diesen benutzer angezeigt werden kann.

 

Ausserdem glaub ich, dass du hier nicht um ein redesign rumkommst.

[weg5st0 10]

@Velius:Er hat genau ein directory pro user - und das klappt auch. Aber der User Kunde 2 hat in seinem Directory mehrere Subdirectories. Zugriff soll für Kunde2 aber nur auf das Subdir Database stattfinden also quasi \kunde2\database als Startordner.

 

Das geht aber mit Userisolation nicht.

 

Er kommt immer nach Kunde2! und muss dann ins Unterverzeichnis Database wechseln...

 

@unleashed: vielleicht geht das aber wenn du nur den Pfad zum Homedirectory von Kunde2 änderst...

[Unleashed 10]

@Unleashed

Kuck dir mal den Artikel genauer an. Da steht ausdrücklich, dass pro Benutzer ein Directory angelegt sein muss, und dass dieses auch nur durch diesen benutzer angezeigt werden kann.

Ausserdem glaub ich, dass du hier nicht um ein redesign rumkommst.

 

Hi Velius!

 

Ich weiss nicht ob Du den letzten Post von mir schon gesehen hast -

ich hab natürlich für JEDEN Benutzer ein eigenes Verzeichnis -

ich will ja nur dass ein Benutzer in SEINEM Verzeichnis nicht alles sieht ...

 

lg

Unleashed

[Unleashed 10]

Hallo!

 

@weg5st0: Genau das ist mein Problem :)

 

Ich hab bereits mit sämtlichen Pfaden des Users im Active Directory experimentiert - ohne Erfolg!

 

Ich weiss aber ehrlich gesagt nicht genau ob es sich beim FTP-Homedir um das

selbe Homedir wie in ner normalen Domäne handelt, wo genau ich das

eintragen müsste und vor allem ob ich dann das Verzeichnis freigeben muss

(was ja bei den üblichen Benutzerhoemdirs der Fall ist)

 

Danke!

 

Unleashed

[Velius 10]

 

Ich weiss aber ehrlich gesagt nicht genau ob es sich beim FTP-Homedir um das

selbe Homedir wie in ner normalen Domäne handelt, wo genau ich das

eintragen müsste und vor allem ob ich dann das Verzeichnis freigeben muss

(was ja bei den üblichen Benutzerhoemdirs der Fall ist)

 

Siehe den Artikel bei MS :wink2:

 

 

EDIT: Hier ist er übrigens nochmals falls du ihn übersehen haben solltest: http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/b63de8ef-e3c5-456d-a8ca-7af4198819d4.mspx

[weg5st0 10]

Wow - hab ich auch übersehen!

 

mit Iisftp.vbs kannst du den Pfad setzen/lesen.

[Unleashed 10]

@Velius:

 

Den hab ich glaube ich schon 10mal gelesen :)

 

Ich hab auch schon versucht mit dem erwähnten iisftp.vbs Skript und den Parametern

/GetADProp und /SetADProp zu arbeiten - nur wenn ich die Werte der Benutzer auslesen will krieg' ich nur "null" zurück.

 

Ich kanns dann zwar setzten und kirege die gesetzten Werte dann auch zurückgeliefert, nur die in der KB beschrieben Werte wir Server, Modus etc. krieg ich nicht ...

 

lg

Unleashed