2024年2月9日发(作者:)
Serv-U10.0.0使用说明
快速入门指南
Serv-U 设计的配置简单,其灵活性和控制功能使您得以在可能的最佳安全保护下与其他人方便地共享文件。快速入门指南将帮助您安装服务器,创建首个域,并向新域中添加用户帐户。一旦完成这些简单步骤,您就能连接到新的文件服务器并开始传输文件!
安装
如果您是首次安装 Serv-U,只需遵照安装屏上的指令选择安装目录并配置桌面快捷方式,以便快速访问服务器。您也可选择将 Serv-U 作为系统服务安装,这意味着当 Windows 启动时自动启动 Serv-U——在任何用户登录服务器前。如果 Serv-U 运行于专用的服务器机器,且没有交互式用户会话定期登录该服务器时,该选项很有用。如果 Serv-U 未作为系统服务安装,则登录
Windows
后需要手动启动该软件。
如果覆盖安装现有 Serv-U,我们推荐首先备份原始安装文件夹。尽管可以安全地覆盖安装任何现有的 Serv-U 并对数据文件和二进制代码进行必要的升级,在升级前备份关键组件仍被视为良好的数据管理措施。如果进行升级的安装版本早于 7.0 版,将会出现提示对话窗,指出在版本 6
后作出的关键更改,以及这些更改会如何影响您对 Serv-U
文件服务器的管理。
一旦完成安装,将启动 Serv-U 管理控制台。如果选择安装后不启动
Serv-U
管理控制台,可以通过双击系统托盘内的 Serv-U 图标,或单击右键选择 "启动管理控制台" 选项,来随时启动控制台。
创建首个域
完成加载管理控制台后,如果当前没有现存域会提示您是否创建新域。单击是启动域创建向导。任何时候要运行该向导,可以单击管理控制台顶部或更改域对话框内的新建域按钮,从管理控制台内的任何页面都可打开更改域对话框。在 Serv-U 文件服务器上创建新域有 3 个简单步骤。
第一步是提供唯一的域名。域名对其用户是不可见的,并且不影响其他人访问域的方式。它只是域的标识符,使其管理员更方便的识别和管理域。同时域名必须是唯一的,从而使 Serv-U 可以将其与服务器上的其它域区分开。您也可在描述区提供域的任何其它描述说明。默认情况下,启用域并供用户访问。如果您希望在配置过程中暂时拒绝用户访问该域,取消选中启用域选择框。单击下一步继续创建域。
创建域的第二步是指定用户访问该域所用的协议。标准文件共享协议是 FTP(文件传输协议),它运行于默认端口 21。然而,任何这些端口号都可更改为您所选择的数值。如果在非默认端口上运行服务器,推荐使用 1024 以上的端口。关于每个 Serv-U 版本所支持协议的更多信息,请参考有关 Serv-U 版本的文档。选中您希望域支持的协议旁的选择框,然后单击下一步继续。
第三步即最后一步是指定用于连接该域的物理地址。通常,这是用户指定的
IP 地址,用于在
Internet 上查找您的服务器。大多数家庭用户可以保留该选项空白,以使 Serv-U
使用计算机上的任何可用 IP
地址。
第四步与最后一个步骤是决定在该域存储密码时将使用的加密模式。默认情况下,使用单向加密安全地存储所有密码,一旦保存密码就会将其锁定。不过,用户希望利用 Web 客户端上的“密码恢复”工具时,可以选择使用双向密码,这样在要求密码恢复时,Serv-U 就无需重置其密码。最后,若希望将
密码存储为明文,Serv-U 也可以实现。不推荐这一方式,不过要与过去的系统集成(特别是在使用数据库支持时),这可能是必需的。
现在,点击完成以让 Serv-U 创建你的第一个域。祝贺您!现在您的第一个域上线了。下一次可以配置域的更多属性。有关这些选项的更多信息,请参见域设置文档。现在,您需要创建用户帐户以便通过该域开始共享文件。
创建首个用户帐户
创建首个域后,管理控制台将显示用户页面并询问您是否希望使用新建用户向导创建新用户帐户。单击是启动新建用户帐户向导。任何时候通过单击用户帐户页面上的 "向导" 按钮可以运行该向导。创建新用户帐户有 4 个简单步骤。
第一步是提供帐户的唯一的登录 ID。连接域时使用该登录 ID开始验证过程。登录 ID对于该域必须是唯一的,但服务器上其它域可能有帐户拥有同样的登录 ID。要创建匿名帐户,请指定登录 ID为 "anonymous" 或 "ftp"。
此时,还需为该用户账户指定全名与电子邮件地址。全名提供引用用户账户的规范名,电子邮件地址允许将 Serv-U 邮件通知与恢复的密码发送到用户账户。单击下一步继续创建用户帐户。
指定唯一登录 ID后,您还必须为帐户指定密码。当用户连接域时,密码是验证用户身份所需的第二条信息。如果有人要连接该域,他们必须知道第一步中指定的登录
ID,以及此密码。密码可以留空,但将导致知道登录 ID的任何人都能访问域。点击下一步继续。
第三步是指定帐户的根目录。根目录是登录成功时用户帐户在服务器硬盘(或可访问的网络资源)上所处的位置。实质上,它是用户帐户在服务器上收发
文件时您希望它使用的位置。单击浏览按钮转到硬盘上的某个位置,或手动输入该位置。如果锁定用户至根目录,他们就不能访问其根目录结构之上的文件或文件夹。此外,根目录的真正位置将被屏蔽而显示为 "/"。单击下一步按钮继续最后一个步骤。
最后一步是授予用户帐户访问权。访问权是按目录授予的。然而,可访问目录中的所有子目录可以继承访问权。默认访问权是 "只读",这意味着用户可以列表显示其根目录中的文件和文件夹并进行下载。然而他们不能上传文件、创建新目录、删除文件/文件夹或重命名文件/文件夹。如果选择 "完全访问",用户就能执行所有上述操作。创建用户后,通过编辑用户并选择 "目录访问"
选项卡,可以更细致的配置这些访问权限。选择目录访问权限后,单击完成按钮创建用户帐户。
祝贺您!您的 Serv-U 文件服务器已准备就绪可供访问和共享。您可以像创建该帐户一样创建更多帐户以便与其他朋友、家人或同事共享。每个用户可有不同的根目录从而使您可与不同人共享不同文件。还有更多用户配置选项使您可以微调帐户访问服务器的权限。有关这些选项的更多信息,请参见用户帐户的文档。
服务器概念
Serv-U 文件服务器使用一些概念,帮助您理解如何将文件服务器作为单一的分级单元进行配置和管理。Serv-U 文件服务器有四个相关的配置级别:服务器、域、群组和用户。其中,只有群组级别是可选的——所有其它级别是文件服务器的必要组成部分。下面提供了对每个级别的解释。
服务器
服务器级别是 Serv-U 文件服务器的基本单元,也是可用的最高配置级别。它代表了文件服务器整体,并管理所有域、组和用户的行为。Serv-U 文件服务器带有一组默认选项,可逐个对其进行覆盖。因此,服务器是 Serv-U 配置等级的最高级别。域、组和用户从服务器继承了它们的默认设置。在每个较低级别可以覆盖继承的设置。然而,一些设置是服务器级别特有的,例如
PASV 端口范围。
域
一台服务器可以包含一个或多个域。通过域这个接口用户连接文件服务器并访问特定用户帐户。域的设置是从服务器继承而来。它也定义了其所有群组和用户帐户能继承的设置集。如果服务器级别的设置在域级别被覆盖,那么该域所有群组和用户帐户将继承该值为其默认值。
群组
群组是进行额外配置的可选级别,通过它可以更为方便地对分享许多相同设置的相关用户帐户进行管理。通过使用群组,管理员可以快速更改多个用户帐户,而不必分别手动配置各个帐户。群组从它所属的域中继承所有默认设置。它定义了所有群组成员用户继承的设置集。实际上,每个用户级别设置可在群组级别进行配置,或在用户级别被覆盖。
用户
用户级别处于等级底部。它可以从多个群组继承其默认设置(如果它是多个群组的成员),或从父域继承默认设置(如果它不是任何群组的成员或群组未定义默认设置)。用户帐户标识了与文件服务器的物理连接,并定义了该连接的访问权限。在用户级别被覆盖的设置在他处不能被覆盖,并将永远应用
于使用该用户帐户进行验证的连接。
用户集
不同于群组,用户集对其包含的用户帐户不提供任何级别的配置。相反,它只是提供了一种方法将用户归类以便查看和管理。例如,为了基于群组成员资格管理用户帐户,可以创建用户集,然而当用户帐户更改群组成员资格时必须手动对其进行维护。
Serv-U 管理控制台
Serv-U 管理控制台的设计旨在以熟悉的方式快速便捷地访问文件服务器配置选项。查看配置页面时,您可通过单击左上角的 Serv-U 文件服务器标志在任何时候返回管理控制台主页面。
管理控制台布局
管理控制台显示为熟悉的控制面板类型的布局,并对相关选项进行归类。单击类标题,例如 "用户",显示用户帐户管理屏幕。从该屏幕可使用每个子类配置选项。也可选择子类以直接转到该子类的配置页面。
对于服务器管理员,管理控制台分两列显示。右列显示的类别与配置服务器范围的选项和设置有关。左列显示的类别与配置活动域有关。要更改活动域,请单击管理控制台左上角的管理域按钮,并选择另一个要管理的域。此外,页脚的右下角提供了更改域按钮。可使用该方法从管理控制台的任何页面更改活动域。
域管理员只能访问适用于域的配置设置和选项,不能访问为系统管理员显示的服务器级别类项目。
导航菜单
导航菜单位于屏幕的左下角,提供了与 Serv-U 所有配置类别的直接链接。它是上下文相关的,显示了所选配置对象(域或服务器)的相关类别,以及当前所选类别的可扩展配置选项列表。
选项卡式配置页面
当从管理控制台打开某个类别时,所有相关的子类别页面都在同一个屏幕上以选项卡形式显示。这容许在相关配置选项间快速导航。
启动 Web 客户端
当配置 Serv-U 文件服务器时,通过单击页面底部工具栏内的适当启动按钮,可在任何时候启动 HTTP 会话。如果获得使用授权,Web 客户端随时可用,且可以从浏览器内启动。如果获得使用授权,也可通过单击 FTP Voyager JV
按钮,在 Java 运行环境中启动 FTP Voyager JV。
更改 Serv-U 中的主题
“主题”按钮,用于启动主题菜单,位于屏幕右下角。该菜单列出了可以更改 Serv-U 外观与风格的可用主题。只要从下拉式组框中选择一个主题并点击“确定”按钮即可。不用刷新页面就可加载这个主题。
用户界面协定
Serv-U 文件服务器使用统一的方式显示配置选项,它不但表达了选项的当前值,也表达了该选项是否是默认(或继承)值。传统方式为使用所谓三态复选框达到上述目的。三态复选框有两个主要缺点:
默认状态不能清晰的表达选项的当前值。在某些版本的 Windows 中,该选择框被选中并带灰色的背景色——即使当前未启用该选项!它们只能用来表示二元数值,即它们只能表示两个数值——开或关。
Serv-U 文件服务器使用不同的便于理解的协定克服了这些缺点。当选项从父对象中继承值时,选项的文本将显示为常规的非粗体文本。显示的值(无论是文本数值还是复选框)随着父对象的更改而更改,因为该值是从父对象中继承而来。
然而,如果默认值被覆盖,则其文本将以粗体显示。当前显示的值始终是选项的值,而与其父对象的更改无关。
理解用户界面协定
为了更好的说明用户界面协定,请参考以下案例文档。
Acme Technology Co. 是一家计算机维修公司,使用 Serv-U 文件服务器向出差工程师提供对共享企业资源的全局访问权限。每个工程师在文件服务器上都有自己的帐户。为便于管理用户帐户,文件服务器管理员使每个用户帐户成为 "工程师"
群组的成员。该群组的管理权限被设为无权限,因为工程师没有管理文件服务器的责任。
一个工程师获得升职。除了他当前的技术工作以外,他也被授予文件服务器的管理权限,以便协助其他工程师进行帐户管理。文件服务器管理员只需编辑该工程师的用户帐户,并将管理权限更改为域管理员。该选项的文本变为粗体,表示它覆盖了默认值(无权限),该默认值是用户帐户从其 "工程师" 群组成员资格中继承得来。
以后,通过选择 "管理权限" 下拉框中的继承默认值选项可以将管理权限恢
复为从 "工程师" 群组继承而来的默认值。
服务器概述
Serv-U 文件服务器允许在服务器级别配置某些设置。当在服务器级别进行配置时,除非在更低级别修改了该配置,否则它们将应用到服务器上的所有用户、群组和域。可在服务器级别进行的配置包括:目录访问规则、IP 访问规则、带宽限制、全局用户帐户(可以登录任意 Serv-U
域的用户帐户)等。在以下帮助页面中列出了有关每个设置及其配置方式的详情。
IP 访问规则
IP 访问规则是用户验证的一种补充形式,它可以限制登录特定 IP 地址、IP
地址群、甚至域。可以在服务器、域、群组和用户级别配置 IP 访问规则。在哪个级别指定 IP 访问规则也决定了连接在被拒绝前可以深入到哪个程度。发送欢迎消息前应用服务器和域级别的 IP 访问规则。当响应 HOST 命令以连接虚拟域时也应用域级别的 IP 访问规则。当客户端向服务器表明身份时,对 USER 命令的响应应用群组和用户级别的 IP 访问规则。
指定这些规则确保了只有某些网络内的客户端可以登录。要配置 IP 访问规则,首先指定允许/禁止登录的客户端。要添加规则,请单击添加按钮,并指定受该规则约束的 IP 地址或地址范围。如果使用动态 DNS 服务,例如
DNS4Me,那么可以指定域名而不是 IP
地址,从而允许访问没有静态 IP 地址的移动客户端。也可使用反向 DNS 名称。如果创建了域名或反向 DNS 规则,Serv-U 必须执行反向 DNS 查询或 DNS 解析以应用这些规则。这会在登录期间取决于系统 DNS 服务器的速度,引起轻微的延迟。特殊格式允许使用范围和通配符,如下所示:
xxx
精确匹配,例如192.168.1.1(IPv4),fe80:0:0:0:a450:9a2e:ff9d:a915(IPv6, 完整形式)或 fe80::a450:9a2e:ff9d:a915(IPv6,简写)。
xxx-xxx
指定范围的
IP 地址,例如192.168.1.10-19(IPv4),
fe80:0:0:0:a450:9a2e:ff9d:a915-a9aa(IPv6,完整形式),或
fe80::a450:9a2e:ff9d:a915-a9aa(IPv6,简写)。
*
任何有效的 IP 地址值,例如192.168.1.*,它类似于192.168.1.0-255,或fe80::a450:9a2e:ff9d:*,它类似于 fe80::a450:9a2e:ff9d:0-ffff。
指定反向 DNS 名称的任何有效字符,例如 server?.mydomain.com。
/
斜杠分隔符允许使用 CIDR 记数法来指定应允许或阻止哪些 IP 地址。常用的 CIDR 表示法为/8 (用于 1.*.*.*), /16 (用于 1.2.*.*)与/24 (用于
1.2.3.*)。表示法 /32 可以用来指定单个 IP 地址。
Serv-U 也支持对基于 IPv6 地址范围的 IP 访问规则使用
CIDR 记数法。使用 IPv4 时,斜杠后的数字指示那些地址被视为一部分范围,例如
2001:db8::/32。
IP 访问规则以显示的顺序依次应用。因此可以将特定规则置于顶部,以便在以后应用列表中更宽泛的规则前允许(或拒绝)访问。列表右侧的箭头可用来更改列表中单个规则的位置。
反恶意攻击规则无法自动阻止已出现在该列表中的允许地址。例如,本地 IP
地址
192.168.0.17 引起 Serv-U 初始化其反恶意攻击规则来阻止该 IP 地址,但是由于列表中已明确允许了 192.168.0.17,反恶意攻击规则就无法自动阻止 192.168.0.17。
以下为其工作原理。假设以下 IP 访问规则:
+ 192.168.0.17
+ *
当出现来自
192.168.0.17 的活动时, 自动 IP 阻止(通过超时、反恶意攻击或会话活动的系统管理员)无法发生,因为该 IP 地址是特别启用的。底部的项目 * 表示允许任何人,无仅允许 192.168.0.17 这个值。如果反恶意攻击对另一个不同的 IP 地址起效,就会将被阻止的这个 IP 地址添加到列表顶部,如下所示:
- 10.10.10.1
+ 192.168.0.17
+ *
如果要允许整块 IP 地址,可以按照如下说明实现:
+ 192.168.0.1-255
+ *
如果反恶意攻击规则要作用于这些地址中的任何一个,都无法阻止该 IP 地址。此处的关键是通配符*。Serv-U 还会检查 *.*, *.*.*, *.*.*.* 作为“任何” IP 地址。
启用排序模式
该选项允许 IP 访问列表按数序而非处理顺序进行排序。以排序模式显示 IP
访问列表不会更改处理规则的顺序 - 要查看规则优先级,请禁用该选项。以数序查看
IP 访问列表可以作为极有价值的工具,在查看冗长的访问规则列表以确定条目是否存在时很有用。
案例文档 - 承包商
临时雇佣了一名承包商,为了有效完成承包的工作需要访问 Serv-U 文件服务器。为了避免泄密,授权该承包商不能从工地办公室之外的位置访问服务器。办公室内的所有工作站分配到的 IP 地址为 192.168.10.2 到
192.168.10.254。因此,创建允许访问规则如下所示:
以上所示的规则允许承包商从办公室内访问文件服务器,但是因为创建了 "允许访问" 规则,因此添加了一条隐式的 "拒绝所有访问" 规则,该规则阻止从任何其它地方使用帐户。他被授予其所处位置需要的访问权,但管理员拥有更高的控制权,可以控制从哪里能访问数据。
案例文档
- 开放式机器房
用户需要从办公室内访问服务器,但出于安全考虑不能从办公楼内的一组开放式
PC 机房内进行登录。该机器房分配到的 IP 地址为 192.168.15.100
到 192.168.15.110。因此,创建拒绝访问规则以拒绝对
192.168.15.100
到 192.168.15.110 的访问。请记住因为在使用
IP 访问规则时添加了隐式
"拒绝所有访问" 规则,在列表末尾必须添加 "允许所有访问" 规则允许用户从所有其它地址范围进行登录,这可以通过输入允许访问规则允许对
"*.*.*.*" 的访问来实现。列表末尾的这条规则保证了从所有其它 IP
地址可以进行连接。
案例文档
- 通过名称访问
从 exam 域进行连接的用户应该是唯一可以访问该域的用户。为了限制可以访问该域的用户,采用基于反向 DNS
和主机名的 IP 访问规则。首先,创建新的访问规则允许访问
*.examplesite.com。
注意:为使这条访问规则起作用,相关 IP 地址的 PTR 记录必须匹配已创建的规则。一般来说,为使连接 IP 地址拥有这样的 PTR 记录,连接客户端必须从已分配了 IP
地址范围的大型公司进行连接——通常情况下,动态 IP
地址不能满足要求。
数据库访问
Serv-U 可以使用 ODBC
数据库保存并维护域级别和服务器级别的群组和用户帐户。可在两个地方配置 ODBC 连接:域
| 域详情 | 数据库和服务器 |
服务器详情 | 数据库。Serv-U 可以自动创建所有需要的表和列以便开始在数据库中保存用户和群组。因为 Serv-U 使用一组表格名来存储信息,所以必须为在数据库中保存详细信息的每个项目单独配置 ODBC 连接。换句话说,服务器和每个域必须有唯一的 ODBC 连接以确保分别对其进行存储。要配置数据库,请按以下步骤操作:
创建 ODBC 连接供 Serv-U 使用。RhinoSof 推荐使用 MySQL,但也可使用任何具有 Windows ODBC 驱动程序的数据库。如果 Serv-U 作为系统服务运行则使用系统 DSN,如果作为常规应用程序运行则使用用户 DSN。打开
Serv-U 管理控制台,转到相应的域或服务器数据库设置。输入数据源名称(DSN)、登录 ID
和密码,并单击保存。
如果是首次配制数据库连接,请选中自动创建选项。选中该选项后,Serv-U 文件服务器自动构建数据库表格和列。
SQL 模板
Serv-U 使用多个查询来维护包含用户和群组信息的数据库。这些查询符合
SQL 语言标准。然而,如果您使用的数据库与 Serv-U 的协作有问题,可能需要更改这些查询。从 SQL 模板对话框,可以特别定制 Serv-U 使用的每条查询以符合数据库支持的标准。
注意:不正确地编辑这些 SQL 查询可能导致 Serv-U 内不再支持 ODBC。除非您擅长编写 SQL 语句,并肯定有必要启用数据库软件的 ODBC 支持,否则请勿擅自改动这些查询。
用户和群组表格映射
默认情况下,Serv-U 自动创建并维护在数据库中存储用户和群组信息所必需的表格和列。但如果试图将 Serv-U 连接到包含此信息的现有数据库,您需要定制表格和列的名称以符合现有数据库的结构。首先单击用户表格映射或群组表格映射。
Serv-U 在10个不同表格中保存用户或群组的信息。只有用户/群组信息表和用户/群组目录访问表是必需的。可以从对象表下拉框更改当前表格。属性列
列出了当前表格中存储的属性。数据库映射值显示数据库中属性所映射到的列名。首行总是显示 "表格名",并可用来更改表格的名称。
某些表格中的条目顺序至关重要,这些表格列出了排序列属性。该列用于保存规则应用的顺序。
单击编辑按钮,或双击列名以编辑值。
启用后, 可以在需要时访问该表格。在特殊情况下,可以禁用未被使用的表格,以此来减少
ODBC(数据库)调用数。例如,如果不使用上传/下载率与配额,可以禁用“用户上传/下载率不限文件”表,“每个用户的文件上传/下载率”表,“每个用户的字节上传/下载率”表,以及“每个会话的字节上传/下载率”表,防止不必要的 ODBC 调用。禁用表格时请格外小心,因为在对话框中会出现字段,但不保存或加载它们。无法禁用“用户信息”与“群组信息”表格。
案例文档 - ODBC 验证
通过 ODBC 数据库可以在 Serv-U 文件服务器中进行验证,允许脚本式帐户管理和维护。为了使用
ODBC 功能,请转到数据库的 ODBC 验证。通过将凭证存入数据库的设置中,就可以在 Serv-U 管理控制台外部由脚本式数据库操作管理帐户,该操作可以嵌入许多现存的帐户设置系统中。必须首先在 控制面板 |
管理工具 | 数据源(ODBC)中创建 DSN——如果 Serv-U 作为服务运行则使用系统 DSN,否则如果 Serv-U 作为应用程序运行则使用用户
DSN。一旦创建了正确的
DSN 后,请指定数据源名、登录 ID 和密码并选择保存。Serv-U 透明地创建表和列。可以从 Serv-U 的数据库用户和数据库群组区域(位于普通用户和群组选项卡旁)管理数据库用户和群组.
目录访问规则
目录访问规则定义用户帐户可以访问的系统区域。与传统的限制到用户和组级别的方式不同,Serv-U 通过全局目录访问规则的创建,将目录访问规则的使用扩展到域和服务器级别。在服务器级别指定的目录访问规则可供文件服务器中的所有用户继承。如果在域级别指定,则仅供该域内的用户继承。继承的传统应用规则为,在较低级别指定的规则(如用户级别)可以覆盖在较高级别(如服务器级别)指定的冲突或重复的规则。
设置目录访问路径时,可以使用 %USER%、%HOME%、%USER_FULL_NAME%
和 %DOMAIN_HOME%
变量简化这一过程。例如,可以使用 %HOME%/ftproot/ 创建目录访问规则,在用户根目录下指定
"ftproot" 文件夹。以这种方式指定的目录访问规则具有 "可移植性",在实际的根目录更改时,能够保持原有的子目录结构。这将减轻文件服务器管理员的维护负担。如果在路径中指定了 %USER% 变量,该变量将被替换为用户的登录 ID。变量在指定群组根目录时非常有用,可以确保用户继承符合逻辑且唯一的根目录。可以使用
%USER_FULL_NAM% 变量将“全名”值插入路径(该用户必须拥有指定“全名”才能使该功能生效)。例如,用户“Tom Smith”可以将
D:ftproot%USER_FULL_NAME% 用于 "D:ftprootTom Smith"。最后,标识用户根目录时还可使用 %DOMAIN_HOME% 宏。例如,使用 %DOMAIN_HOME%%USER% 将用户及其根目录置于公共目录。
目录访问规则按其列出的顺序应用。Serv-U 碰到的列表中第一条符合客户端路径的规则,即应用于该规则的规则。换句话说,如果现有的规则拒绝访问某个子目录,但该规则列于授权访问父目录的规则之下,则用户仍可以访问该子目录。目录访问列表右边的箭头用于重新排列规则应用的顺序。
以下是列表和每种可用的访问权限的描述。
文件权限
读
允许用户读取(即下载)文件。该权限不允许用户列出目录内容,执行该操作需要列表权限。
写
允许用户写入(即上传)文件。该权限不允许用户修改现有的文件,执行该操作需要追加权限。
追加
允许用户向现有文件中追加数据。该权限通常用于使用户能够对部分上传的文件进行续传。
重命名
允许用户重命名现有的文件。以前版本的 Serv-U 要重命名文件需要删除和写权限。从
7.0 版本开始,重命名成为明确的权限。
删除
允许用户删除文件。
执行
允许用户远程执行文件。执行访问用于远程启动程序并通常应用于特定文件。这是非常强大的权限,在将该权限授予用户时需格外谨慎。具有写和执行权限的用户实际上能够选择在您的系统上安装任何程序。
目录权限
列表
允许用户列出目录中包含的文件。
创建
允许用户在目录中新建子目录。
重命名
允许用户在目录中重命名现有子目录。以前版本的 Serv-U 要重命名目录需要删除和写权限。从 7.0 版本开始,重命名成为明确的权限。
删除
允许用户在目录中删除现有子目录。注意: 如果目录包含文件,用户要删除目录还需要具有删除文件权限。
子目录权限
继承
允许所有子目录继承其父目录具有的相同权限。继承权限适用于大多数情况,但是如果访问必须受限于子文件夹,例如实施强制访问控制(Mandatory
Access Control)时,则取消继承并为文件夹逐一授予权限。
作为 Windows 用户访问
由于种种原因,要将文件和文件夹保存在外部服务器上以便集中文件存储或提供额外的安全级别。在这种环境下,可以使用 UNC 路径
(servernamefolder) 替代传统的 "C:ftprootfolder" 路径来访问文件。不过,访问跨网络存储的文件夹别具挑战 - 默认情况下,Windows 服务器运行于“本地系统”账户之下,没有访问网络资源的权限。
为使整个
Serv-U 避免这一问题,可以配置“Serv-U 文件服务器”服务运行于网络账户之下。或者,当存在多个服务器或出于安全原因
Serv-U 服务器服务必须运行于“本地系统”之下时,可以配置目录
访问规则以使用特定的 Windows 用户访问文件。点击“高级”按钮可以为每个单独的目录访问规则指定特定的
Windows 用户。就如同在 Windows 验证中目录访问取决于 NTFS 权限一样,在 Serv-U 中的文件访问也取决于所配置的权限。
配额权限
目录内容的最大尺寸
设置最大尺寸,动态地将目录内容大小限制在指定的值以内。任何尝试的文件传输如果使目录内容超过这一限制值,则被拒绝。它作为传统配额功能的替代功能,传统功能依赖于追踪所有的文件传输(上传和删除)以计算目录大小,且无法在用户文件服务器活动以外考虑对目录内容的更改。
强制访问控制
当用户需要访问相同根目录但不一定都能访问其下的子目录时,Serv-U 启用强制访问控制。要在目录级别实施强制访问控制,只需禁用 "继承" 权限,如下所示(假设该规则应用于 "D:ftproot"):
现在,用户可以访问 "ftproot" 文件夹但不能访问其下的子文件夹。必须为用户需要访问的子文件夹个别授予访问权限,从而在
Serv-U
文件服务器中提供强制访问控制的安全保护作用。
限制文件类型
如果用户使用 Serv-U 文件服务器上的存储空间保存与工作无关的文件,例如 MP3 音乐文件,通过配置目录访问规则并将其置于主目录访问规则之上(使用右边的箭头对规则重新排序)可以阻止传输
MP3 文件以杜绝上述操作,如下所示。在规则的文本条目中输入
"*.mp3" 并使用下列权限:
该规则拒绝传输任何以 .mp3 为扩展名的文件,并可作修改以显示任何文件扩展名。同样,如果会计部门的员工只需要传输以 .mdb 为扩展名的文件,则可配置一对规则以授予传输 .mdb 文件的权限但拒绝对任何其他文件的访问,如下所示。在第一条规则中输入用户根目录或需要访问的目录的路径,在第二条规则中输入需要访问的文件扩展名(例如 "*.mdb"):
这些规则仅允许用户访问指定目录中的 .mdb 文件,也可改编为任何文件扩展名或文件扩展名组。
虚拟路径
虚拟路径允许用户访问根目录以外的文件和文件夹。虚拟路径仅定义一种方式,将现有目录映射到系统中的其他位置,使用户能够在其可访问的目录结构中看到该目录。为了能够访问该映射的位置,用户还是需要满足对虚拟路径物理路径的目录访问规则。
和 目录访问规则 一样,虚拟路径可以在服务器、域、群组和用户级别进行配置。在服务器级别创建的虚拟路径可供文件服务器上的所有用户使用。如果在域级别创建,则仅供该域内的用户访问。Serv-U 的粒状文件访问控制甚至允许为个别用户或群组专门创建虚拟路径。
物理路径
物理路径是系统或网络中的真实位置,可以置于可供用户访问的虚拟位置。如果物理路径位于同一计算机上,应使用完整路径,如
"D:inetpubftppublic"。也可以使用 UNC 路径,如
"Serversharepublic"。为了使用户能够看到虚拟路径,必须具有指定给物理路径的目录访问规则。
虚拟路径
虚拟路径是应该向用户显示的物理路径位置。通常在虚拟路径中使用宏 %HOME%
以将指定的物理路径置于用户根目录中。指定虚拟路径时,最后指定的目录作为用户目录列表中显示的名称。例如,虚拟路
径 "%HOME%/public" 取代指定物理路径中名称为 "public" 的文件夹,该文件位于用户的根目录下。也可以使用不带任何宏的完整路径。
包括在"最大目录尺寸"计算范围内
选中时,虚拟路径包括在最大目录尺寸计算范围内。若未选中,虚拟路径不包括在最大目录尺寸计算范围内。最大目录尺寸限制了目录大小,从而影响可上传的数据量。
案例文件 - 使用虚拟路径
假如为了进行 Web 开发,授予一组 Web 开发者可以访问目录
"D:ftprootexamp" 的权限。开发者还需要访问位于
"D:corpimages"
的图片库。为了避免授予群组访问 D 盘根目录的权限,必须配置虚拟路径使图片库看起来包含在群组的根目录中。在
Web 开发者群组中要添加虚拟路径 "使用户能够访问目录",可以将
"D:corpimages"
指定为物理路径,同时将
"D:ftprootexamplpimages" 指定为虚拟路径。请确保也为 "D:corpimages" 添加了群组级的目录访问规则。开发者现在可以访问图片库,同时也不需要折衷安全性或重新安排共享的资源。
案例文件 - 创建相对虚拟路径
继续上面的例子,如果 Web 开发者群组的根目录被重新安排到其他驱动器,则不仅需要更新其根目录,还需要更新虚拟路径以反映这
一更改。要避免此问题,可以使用 %HOME% 宏创建相对虚拟路径位置,便无需在根目录更改时更新虚拟路径。和使用
"D:ftprootexamplepimages" 作为虚拟路径不同,可以使用 "%HOME%corpimages"。这将告诉
Serv-U 将
"corpimages" 虚拟路径置于群组根目录中——无论根目录在什么位置。如果之后根目录有所更改,虚拟路径将还出现在根目录中原来的位置。
限制和设置
Serv-U 提供了高级选项用来定制它的使用方式,以及将限制和定制设置应用于整个 Serv-U 内的用户、群组、域和服务器的方法。限制能智能化地迭加,使得用户设置覆盖群组设置,群组设置覆盖域设置,而域设置覆盖服务器设置。此外,只能在一星期的某几天或一天的某些时间内应用限制。可以授予管理员例外权限,并对特定用户比其它用户作出更多限制,从而完全控制服务器。Serv-U 内的限制和设置分为5类:连接、密码、目录列表、数据传输和高级。
要应用限制,请选择相应的类别,单击添加按钮,选择限制,然后选择或输入限制值。例如,要禁用域的锁定用户至根目录选项,请按以下步骤执行:
从 Serv-U 管理控制台选择域限制和设置链接。
从 "限制类型" 下拉框选择目录列表。
单击添加按钮。
从 "限制" 下拉框选择锁定用户至根目录。
取消选中该选项。
单击保存按钮。
限制列表显示了应用到域上的当前限制。带淡蓝色背景的限制为默认值。带白色背景的限制值覆盖默认值。完成以上步骤后,列表中出现新的锁定用户至根目录限制条目,其值显示为 "否"。由于继承规则,除非在群组或用户级别被覆盖,否则该选项将应用于域内所有用户。有关该继承方式的更多信息,请参见帮助文档的 用户界面转换 小节。
通过选择限制并单击删除按钮可以删除限制。要编辑被覆盖的值,请选择限制并单击编辑按钮。默认规则不能被编辑或删除。创建新的限制以覆盖默认值。
要创建限定于一天的特定时段或一星期的特定日子的限制,请从新建/编辑限制对话框中单击高级按钮。附加的选项使您可以仅在该时间内应用限制,在此可以输入新限制的开始和结束时间。要将限制限定于一星期的某几天,请取消选中您不希望应用限制的日子旁的复选框。当以这种方法对限制作出限定时,如果不满足该限制的时间或日期的限定,则应用默认值(或限制的其他覆盖值)。
以下是所有可用服务器限制的说明,按类别归类。
发布评论