Salut à tous,
 
Comme le titre l'indique j'ai un problème de sécurité FTP sur Windows server 2003.
 
Nous (c'est pour une société) avons un serveur dédié hébergé qui tourne sous MS server 2003 avec un espace FTP dessus.
Nous définissons des utilisateurs avec mot de passe et ils accèdent sans problème à leur répertoire (et leur répertoire uniquement) sans pouvoir remonter à la racine du site FTP.
Cela marche très bien quand on se connecte au FTP avec Internet Explorer par contre quand on utilise un client FTP, il est possible de remonter à la racine du site et de rentrer ensuite dans les répertoires des autres utilisateurs.
C'est quand même moyen !!!
Nous utilisons une interface web "Web User Interface for MS Windows Server administration" pour administrer notre serveur. Est ce que cette interface est vraiment au point ? Y'en a t il d'autres ?
 
Quelqu'un a t il déja eu le même problème ?  
 
Merci d'avance de votre aide.

Et les droits NTFS ?

Salut,
 
Les droits sont organisés comme suit:
Domain User (groupe contenant tous les users) à les droits de lecture, listing et d'écriture sur ftproot.
Domain User à les droits de lecture, listing et d'écriture (hérités) sur chacun des répertoires contenus dans ftproot.
Bien sûr, en voyant la répartition des droits, cela semble logique du coup. Mais le problème est qu'en supprimant les droits du groupe Domain User sur le répertoire racine, les users n'ont plus accès à leur répertoire. Et cela même en tapant l'adresse: ftp.domaine.com/repertoire
 
Il y a sûrement une astuce mais je ne la connaît pas.

 
C'est quoi ca ?
 
Ton serveur FTP est en mode isolation ou pas ?
 
Il n'y a pas de raison pour que ca marche avec ie et pas avec un client FTP autre, car il n'y a pas d'autentification NT challenge sur du FTP contrairement au HTTP.

C'est à dire ?  
 

C'est à dire encore ?  

Salut,
 

 
En fait, on ne peut pas dire que l'accès FTP ne marche pas avec un client FTP. Au contraire, il marche même trop bien. Le problème est que la personne qui se connecte par client FTP avec son login et son mot de passe (qui lui sont réservés) arrive bien dans son répertoire mais il a la possibilité de remonter dans le répertoire racine (qui contient tous les autres répertoires) et de rentrer dans tous les répertoires voisins au sien.
Alors qu'en utilisant i.e., il accède directement à son répertoire (comme avec un client FTP) mais ensuite il ne peut pas remonter dans l'arborescence. Et c'est exactement ça que je voudrais reproduire avec un client FTP.
 
J'ai beau essayer de triturer les droits dans tous les sens, je ne trouve vraiment pas de solutions pour l'instant.
Soit les users ont accès à tout soit ils n'accèdent plus à leur répertoire.  

Ah ok. Ben justement à ce sujet, il existe le mode Isolation de home sous IIS 6
 
http://www.microsoft.com/technet/p [...] ba3e8.mspx

Salut,
 
Merci pour le lien, j'ai pu y trouver pas mal de réponses.
Et en effet, je viens de voir dans le fichier "MetaBase.xml" que mon site FTP n'est pas en mode isolation.
 
Je vais donc essayer ce mode isolation qui à l'air de permettre de faire exactement ce que je cherche.

Salut,
 
J'ai créé un site FTP isolé (vous admirerez la rapidité entre le moment où je l'ai dit et celui où je l'ai fait) mais j'ai un problème au niveau de la création de mes Users.
Il n'arrivent pas à se connecter.
D'après ce que j'ai compris, il ne faut pas leur donner un "Local Path" mais il faut plutôt organiser les répertoires de la façon suivante: racineduFTP/domaine-du-user/nom-du-user/ses-fichiers.doc
 
Mais à vrai dire, dans mon cas, cela ne marche pas.
Est ce que quelqu'un connaît la subtilité qui me permettrait d'y arriver.
 
Je vous remercie d'avance de votre aide.

Si ton FTP utilise des comptes d'Active Directory en effet.
Si c'est la base SAM locale du serveur c'est LocalPath

Salut Jef34,
 
Merci de ton aide.
 
Mon FTP n'utilise pas de compte d'Active Directory mais quand on veut convertir un FTP non isolé en FTP isolé (sans comptes d'Active Directory) il est indiqué qu'il faut créer à la racine du FTP un répertoire pour chaque groupe et un répertoire pour chaque user à l'intérieur. (voir: http://www.microsoft.com/technet/p [...] 392c3.mspx)
J'en ai donc déduis que cette architecture de dossier devait aussi être appliquée dans le cadre d'une création (et non d'une conversion) de site FTP isolé. Mais si tu me dis que c'est seulement pour les FTP isolé utilisant des comptes d'Active Directory...
 
Le problème est que j'ai aussi essayé avec des local path et ça ne marche pas non plus.
 
Est ce que quelqu'un peut décrire une création type de user (avec les options à cocher ou non) et des répertoires associés?
Je continue les essais mais j'avoue que c'est presque décourageant.

Toujours aucun résultat.
J'ai lu dans une discussion sur le site de microsoft qu'il fallait organiser l'arborescence du site FTP comme ça:
c:\inetput\ftproot\localuser\tom
 
Cela n'a pas marché dans mon cas. Pourtant il semblait que le cas décrit était vraiment identique au mien.
A savoir, mon client FTP se connecte mais j'ai finalement l'erreur : 530 User tom cannot log in, home directory inaccessible
 
Si quelqu'un a une explication, je suis preneur !!!
 
A+

Salut,
 
Cela se confirme, d'après tous les forums que j'ai écumé (il ne doit pas m'en manquer beaucoup) j'utilise désormais la bonne hiérarchie de répertoire et la bonne configuration du site FTP, à savoir:
 
_FTP créé en mode isolation (sans Active Directory). Home directory: "D:\ftp_isolation"
_Répertoire: "D:\ftp_isolation\LocalUser\toto"
_User "toto" avec Local Path: "D:\ftp_isolation\LocalUser\toto"
 
Voici le log quand je tente de me connecter:

 
Je n'y comprend plus rien.
A l'aide !!!

Tu as vérifié les ACL sur le répertoire home du user ?

Salut Jef34,
 
Les ACL, ce sont les droits NTFS ?
Si c'est ça, le user "toto" a tous les droits sur le répertoire "ftp_isolation" donc sur ceux d'en dessous.
 
Merci pour ton aide.

Bonjour,
 
j'ai une machine dédié au FTP sur laquelle est installée Windows Storage 2008. Je souhaite y mettre en place un Serveur FTP via IIS 6.0. J'ai configuré le FTP sur le port 21.
Je voudrais que les utilisateurs se connectent à leurs dossiers personnels seulement sans pouvoir voir les autres dossiers.
J'avais réussi à le faire en utilisant le mode "Isolate Users" ça a marché quelques temps mais depuis aujourd'hui plus rien. Je ne comprend pas j'ai refais des dizaines de fois la config mais rien n'y fait j'ai toujours l'erreur 530 "user cannot log in, home directory inaccessible"
 
Help me please.
 
Merci d'avance.