wodafa 2017-05-08
FTP作为一种简单便捷的文件共享技术,在许多企业内部得到使用。若启用FTP的验证控制,管理员更可对不同的用户设置不同的访问权限,控制用户对特定内容的访问。IIS中的FTP站点只有一种验证方式,即基本验证。因基本验证的密码采用明码传输,用户在启用这种验证方式时需注意安全性问题。本文将对采用基本验证的FTP服务器用户登录出错问题进行讨论。
一般FTP站点建立以后,只需做简单的配置,用户即可登录访问。但有时当管理员完成FTP服务器的配置后,用户登录该FTP站点时,却发现其用户名与密码无法登录,一般会出现下面的错误提示框。
这种现象一般由以下五个方面的原因导致:
1. FTP 站点权限设置
2. NTFS权限设置
3. 用户权利设置
4. 输入完整的用户名
5. FTP对用户密码的限制
1、FTP 站点权限设置
FTP服务器具有灵活的目录访问控制,它可限制用户对站点或目录的读、写权限,此外它还可根据客户端IP地址进行访问控制。若站点或目录没有赋予用户读的权限,或用户的IP地址被拒绝,则会出现无法登录的错误信息。
这种情况的解决方法如下:
打开IIS管理控制台:开始->程序->管理工具->Internet服务管理器
右键选择FTP站点或虚拟目录属性,在主目录或虚拟目录属性页中,选择读取及写入选项。
单击目录安全性属性页,选择授权访问,并确认客户端的IP地址不在拒绝之列。
2、NTFS权限设置
FTP服务器可以利用Windows操作系统中的文件或文件夹的NTFS权限属性来控制用户访问,因此一个用户若需访问某个FTP站点或目录,则其必须对该物理目录有至少读的权限。
文件或文件夹的NTFS权限属性具体的设置方法为:
打开 Windows资源管理器 ,找到FTP站点或虚拟目录所对应的物理目录,右键点击属性,选择安全性 ,赋给该FTP用户相应的NTFS权限(读取,写入)。
3、用户权利设置
因FTP采用基本验证方式,所以基本验证的用户权利要求也适用于FTP验证。基本验证方式要求访问的用户对目标主机具有从网络访问此计算机和在本地登录两种权限。这两种权限需要在安全策略中设置。在Windows2000中,存在三种安全策略:域安全策略,本地安全策略,域控制器安全策略,它们的优先级为:域控制器安全策略、域安全策略、本地安全策略。在设置安全策略时需注意有效的策略中允许用户从网络访问此计算机和在本地登录两种权限。
配置方法为:
如果FTP服务器安装在域控制器上,则由于域控制器安全策略的策略设置优先级最高,因此我们在域控制器安全策略中进行策略更改(为减少安全隐患,强烈建议用户不要在域控制器上建立FTP站点):
开始->程序->管理工具->域控制器安全策略
如果FTP服务器不是域控制器(DC),则由于一般域安全策略中不会对用户权限进行设置,因此本地安全策略中的设置也可生效:
开始->程序->管理工具->本地安全策略
双击展开本地策略,双击展开用户权利指派,在从网络访问此计算机和在本地登录中检查该FTP用户是否已具有该权限,否则,添加该FTP用户。
如果安全策略配置有改动,可用以下命令手动刷新策略配置,使其立即失效:
secedit /refreshpolicy machine_policy /enforce。
4、用户名的输入方法
基本验证要求用户输入完整的用户名。如果登录的用户是域用户,需在验证窗口中,输入domain_name\user_name,password。,即用户名中需要包括域名;如果登录的用户是本地SAM用户,则输入user_name,password即可。
5、FTP对用户名密码的限制
FTP对用户名密码有一定的限制,若密码以空格符开头或包含特殊字符的,如@ # $ %等,则该用户无法登录FTP站点。此时可以首先修改密码,再做测试。