Giới thiệu

Cho đến phần này, chúng tôi đã giới thiệu cho các bạn cách tạo một FTP site để người dùng có thể truy cập qua một SSL session an toàn. Sự mã hóa SSL không yêu cầu mọi thứ như bạn có thể vẫn cho là như vậy. Không cần các cơ chế cấp phép đúng cách, chúng ta vẫn có thể cho phép người dùng nặc danh truy cập vào FTP site. Trong phần này, chúng tôi sẽ kết luận loạt bài này bằng cách giới thiệu về sự cấp phép khi áp dụng cho các FTP site trong IIS 7.0.

Sự thẩm định quyền

Bạn có thể không thực hiện thực sự bất cứ kiểu cấp phép nào trừ khi cũng thực hiện sự thẩm định quyền.

Mở Internet Information Services (IIS) Manager, và điều hướng trong cây giao diện to <your server> | Sites | <your FTP site>. Tiếp đến, kích đúp vào biểu tượng FTP Authentication được định vị ở giữa giao diện. Như những gì bạn có thể thấy trong hình A, bạn có thể kích hoạt tùy chọn Anonymous Authentication – Thẩm định nặc danh hoặc Basis Authentication – Thẩm định cơ bản. Với mục đích của bài viết, chúng tôi đã kích hoạt tùy chọn Basic Authentication. Hãy kích chuột phải vào tùy chọn Basic Authentication sau đó chọn tùy chọn Enable.

Hình A: Bạn phải kích hoạt chế độ thẩm định quyền cơ bản

Sự cấp phép

Sự cấp phép sẽ thiết lập khả năng nhận dạng người dùng, tuy nhiên chúng ta cần một số bước để chỉ rõ xem người dùng liệu sẽ được cho phép truy cập vào FTP site hay không. Nếu người dùng được quyền truy cập vào site thì sự cấp phép sẽ lệnh cho người dùng thực hiện hành động mà họ đang cố gắng.

Có một số điểm khác nhau trong vấn đề cấp phép được hỗ trợ cho các FTP site. Bạn có thể thực hiện sự cấp phép bằng địa chỉ IP và miền hoặc bởi người dùng và tên nhóm.

Những hạn chế tên miền và địa chỉ

Những hạn chế của tên miền và địa chỉ thường được sử dụng khi người dùng truy cập site một cách nặc danh, tuy nhiên có thể được sử dụng kết hợp với sự thẩm định cơ bản để cung cấp mức bảo mật mở rộng. Việc bổ sung sự hạn chế miền hoặc địa chỉ IP được thực hiện rất dễ dàng. Với FTP site đã được chọn, kích đúp vào biểu tượng FTP IPv4 Address và Domain Restrictions trong cột trung tâm.

Khi giao diện điều khiển chuyển sang Features View, kích chuột phải vào vùng trống ở phần panel trung tâm, sau đó chọn Add Allow Entry hoặc Add Deny Entry từ menu tắt. Cả hai tùy chọn này đều làm việc giống nhau, tuy nhiên một tùy chọn sẽ tăng quyền truy cập vào một địa chỉ cụ thể hoặc một miền, trong khi tùy chọn còn lại sẽ khóa sự truy cập.

Khi được nhắc nhở, bạn chỉ cần nhập vào địa chỉ IP hoặc tên miền mong muốn cho rule. Như những gì có thể thấy trong hình B, bạn có thể chỉ định một hoặc một dải địa chỉ IP.

Hình B: Bạn có thể tạo một rule cấp phép dựa trên các địa chỉ IP hoặc tên miền

Khi quan sát hình trên, bạn sẽ thấy được rằng, không có trường để chỉ định tên miền. Lý do cho điều đó là các rule hạn chế tên miền sẽ làm thêm gánh nặng cho máy chủ vì mỗi một kết nối sẽ yêu cầu một tra cứu DNS ngược để định rõ tên miền được liên kết với địa chỉ IP. Chính vì vậy Microsoft đã ẩn tùy chọn này một cách mặc định.

Nếu bạn muốn kích hoạt các rule của tên miền, hãy kích phải vào vùng trống của panel Features View, sau đó chọn Edit Feature Settings. Khi đó Windows sẽ hiển thị một hộp thoại để cho phép bạn thiết lập hành vi mặc định cho các kết nối không cụ thể với các tùy chọn Allow hay Deny. Bên cạnh việc điều khiển hành vi mặc định của máy chủ FTP, hộp thoại còn có cả hộp kiểm để bạn có thể sử dụng nhằm kích hoạt những hạn chế về tên miền, xem thể hiện trong hình C.

Hình C: Bạn có thể sử dụng hộp thoại Edit IPv4 Addresses and Domain Restriction Settings để kích hoạt những hạn chế về tên miền.

Các rule cấp phép FTP

Thông thường, nếu sẽ thực hiện thẩm định cơ bản trên các kết nối FTP thì bạn sử dụng các rule cho phép FTP để điều khiển ai có thể thực hiện những gì. Bạn có thể truy cập vào các rule cấp phép của FTP bằng cách chọn FTP site của bạn trong giao diện IIS Manager, sau đó kích đúp vào biểu tượng FTP Authorization Rules trong phần panel giữa của giao diện.

Khi giao diện chuyển sang Features view, bạn có thể tạo FTP Authorization Rule bằng cách kích chuột phải vào vùng trống trong panel giữa của giao diện, sau đó chọn Add Allow Rule hay Add Deny Rule.

Việc thiết lập một rule khá đơn giản. Nếu bạn quan sát trong hình D, bạn sẽ thấy rằng một rule cơ bản sẽ gồm có một người dùng hoặc một nhóm ứng với rule sẽ sử dụng và đặc quyền. Cho ví dụ, một rule có thể được sử dụng cho All Users, tất cả người dùng nặc danh, nhóm người dùng cụ thể (chẳng hạn như Admins, Users, or Guests).

Hình D: Bạn phải chỉ định người dùng hoặc nhóm người dùng, sau đó chỉ định đặc quyền

Dù bạn có thể thực hiện như vậy xong tốt hơn hết bạn không nên sử dụng các rule cho những cá nhân riêng lẻ. Việc quản lý sự cấp phép có thể là một mối lo ngại cho bạn. Hãy chỉ định cho một nhóm hoặc sử dụng một trong các tùy chọn có sẵn khác.

Thiết lập sự cho phép cũng rất đơn giản . Tất cả những gì bạn cần thực hiện là chọn; hộp kiểm Read, hộp kiểm write hoặc cả hai. Một thứ mà bạn cần lưu ý đó là có nhiều mức đặc quyền ở đây. Thông thường vẫn là các cho phép NTFS sử dụng cho thư mục mà FTP site đang sử dụng. Bạn phải bảo đảm rằng các đặc quyền mà mình thiết lập xuyên suốt IIS sẽ không vấn đề gì.

Duyệt thư mục

Mặc dù vậy bạn lại không thể sử dụng các rule cho phép để điều khiển việc duyệt thư mục. Với điều đó, bạn cần phải chọn FTP site trong giao diện điều khiển IIS Manager, sau đó kích đúp vào biểu tượng FTP Directory Browsing nằm ở cột giữa.

Như những gì bạn có thể thấy trong hình E, bạn có thể hiển thị việc liệt kê thư mục theo kiểu MS-DOS hoặc theo kiểu UNIX. Không có tùy chọn nào cho việc vô hiệu hóa việc việc thư mục. Nếu bạn muốn vô hiệu hóa việc duyệt thư mục, hãy không gán đặc quyền Read cho người dùng khi tạo rule cho phép.

Hình E: Bạn có thể tùy chỉnh việc duyệt thư mục cho FTP site để làm cho máy chủ giống như máy chủ DOS (Windows) hoặc UNIX

Thêm vào việc điều khiển kiểu thư mục, bạn cũng có thể chọn hiển thị các thư mục ảo, số byte có sẵn trong thư mục, 4 số hiển thị số năm, tất cả đều bằng cách chọn các hộp kiểm tương ứng.

Kết luận

Như những gì các bạn thấy qua loạt bài ngày, việc thiết lập FTP site trong IIS 7.0 diễn ra khá đơn giản. Những thứ chính mà bạn cần phải nhớ đó là sự mã hóa SSL không cần đến sự thẩm định và sự cấp phép, và các đặc quyền (cho phép) mà bạn thiết lập thông qua giao diện IIS không ghi đè các đặc quyền NTFS.