ComputerBase Menü
Aktuelles

FTP-Benutzerisolation oder Alternative?

Sir_Boban

Sir_Boban

Vize-Europameister 2016
Registriert
Mai 2005
Beiträge
227
Hallo Community

Hab meinem Azubi mal den Auftrag gegeben unseren alten Linux FTP-Server auf einen neuen Windows Server (wegen Anbindung AD) zu migrieren. Daten musste er keine behalten, da das Teil nicht oft im Einsatz war (aber wieder vermehrt benutzt werden soll, deshalb der Umzug). Hab mir gedacht, dass sollte eine gemütliche einfache Aufgabe für ihn sein, aber spätestens bei der Benutzerisolation geht dann gar nichts mehr.

Zum Hintergrund: Wir haben diverse Kunden, denen wir Daten zu Verfügung stellen (wollen). Externe Cloud-Anbieter fallen weg, da die Daten "im Haus" bleiben sollen (Weisung). Mir ist bewusst, dass FTP heillos veraltet ist, aber über IIS könnte man eine einfache Freigabe mit oben genannter Benutzerisolation einrichten. Das heisst, dass jeder Kunde nur Zugriff auf seinen Ordner im FTPRoot hat. Alternativen wie WeTransfer etc. fallen leider auch weg, da diese teilweise bei den Kunden gesperrt sind.

Zu meiner eigentlichen Frage: Sobald ich die Benutzerisolation im IIS aktiviere (Benutzernamenverzeichnis), habe ich die Fehlermeldung: 530 User cannot log in, home directory inaccessible. Über das FTP-Stammverzeichnis funktioniert alles, ist aber nicht Sinn der Sache. Hab diverse Anleitungen im Netz schon durch, NTFS-Berechtigungen überprüft, Windows-Firewall komplett ausgeschaltet etc. etc.

Bevor ich nun meine komplette Konfig hier reinschreibe, wollte ich euch fragen, ob es nicht auch eine zeitgemässe Lösung für unser Problem gibt? Wie gesagt, Daten on premise, Zugriff nur auf einzele Ordner, User bzw. Kunden über AD-Account berechtigen, intern so einfach wie möglich für unsere Mitarbeiter (bei FTP z.B. ftproot intern als Netzlaufwerk einbinden).

Danke und Gruss

Sir_Boban
 
Zeitgemäß... schwierige Frage, meine Kollegen aus dem Admin Bereich machen jetzt alles mit Docker-Images (mir ist das zuviel config kung-fu) und nehmen zb nextcloud, pydio, seafile oder ähnliches und dazu ein LDAP Service https://docs.nextcloud.com/server/s...ation_user/user_auth_ldap.html?highlight=ldap

so sieht eine umsetzung (nicht von mir) aus, wo einer seinen kunden ein erklärvideo macht:
YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
Vorab: Ich mag die FTP-Implementation vom IIS absolut nicht und nutze lieber Filezilla Server, aber da geht afaik keine AD-Authentifizierung...

Gibt es denn das entsprechende Verzeichnis für den User? Und sind richtige Berechtigungen eingetragen?
Laut MS sollte es %FtpRoot%%UserDomain%%UserName% sein.
 
Sir_Boban schrieb:
Mir ist bewusst, dass FTP heillos veraltet ist
Zum Vergrößern anklicken....
Ihr nutzt deswegen hoffentlich schon sFTP...

Eine Zeitgemäße Lösung (für kleine Betriebe) ist imho ein Synology NAS o.Ä. - Die sind einfach einzurichten und man kann damit sehr leicht eine eigene Cloud realisieren (Daten liegen halt trotzdem bei euch). Etwas mehr Aufwand wäre Nextcloud, oder Owncloud auf einem eigenen Server laufen zu lassen.


Sir_Boban schrieb:
wegen Anbindung AD
Zum Vergrößern anklicken....
Welches Problem genau tritt da im Zusammenhang mit Linux auf? bzw. was versuchst du da, was nicht klappt? ... ggf. gibt es dafür einen anderen Weg, weil in einer Windows Active Directory hab ich MACs, Linux VMs und eben Synology-Geräte angebunden - Irgendwie geht das schon...


Sir_Boban schrieb:
Bevor ich nun meine komplette Konfig hier reinschreibe
Zum Vergrößern anklicken....
Wenn du einen FTP-Server betreiben willst, wirst du schon beschreiben müssen, wie genau du vorgegangen bist, was du da Softwareseitig nutzt, etc. damit man sieht, wo der Fehler ist...
 
Zuletzt bearbeitet:
Aphelon schrieb:
Wenn du einen FTP-Server betreiben willst, wirst du schon beschreiben müssen, wie genau du vorgegangen bist, was du da Softwareseitig nutzt, etc. damit man sieht, wo der Fehler ist...
Zum Vergrößern anklicken....

Ja ich seh schon, davon kann ich mich leider nicht drücken :D

Wir haben einen virtuellen Win2022 Server in der DMZ, frisch aufgesetzt, dieser ersetzt einen uralt Linux Ubuntu 12.x LTS als FTP-Server.
Einen DC, darauf sind zwei FTP-User (user1,user2) beide in einer Gruppe (FTP-Users) eingerichtet zum Testen
Auf dem FTP-Server habe ich unter C:\intetpub\ftproot\%domainname%\user1 bzw user2 die beiden Verzeichnisse mit NTFS Berechtigungen "Ändern" für die Gruppe FTP-Users auf Höhe %domainname% nach unten vererbt.
Im IIS eine FTP-Site, Authentifizierung Standard, Anonym deaktiviert, FTP-Autorisierung momentan für alle Benutzer offen, Benutzerisolation auf Benutzernamenverzeichnis und SSL mit Wildcard-Zertifikat aktiv bzw. erforderlich
Windows-Firewall auf dem Server ist momentan deaktiviert.
Ergänzung ()

Aphelon schrieb:
Welches Problem genau tritt da im Zusammenhang mit Linux auf? bzw. was versuchst du da, was nicht klappt? ... ggf. gibt es dafür einen anderen Weg, weil in einer Windows Active Directory hab ich MACs, Linux VMs und eben Synology-Geräte angebunden - Irgendwie geht das schon...
Zum Vergrößern anklicken....
Das hätte mit Linux schon auch funktioniert, allerdings wollte ich den 12.X LTS nicht weiter betreiben und unser alter FTP war ebenfalls mehr schlecht als recht eingerichtet, z.B. hatte jeder User auf alles Zugriff, was ich ja eigentlich mit der Benutzerisolation verhindern will.
Ergänzung ()

Ergänzung: sobald ich die FTP-Benutzerisolation auf "FTP-Stammverzeichnis" ändere, kann ich mit dem User1 eine Verbindung herstellen, sehe dann einfach alle Ordner
 
Zuletzt bearbeitet:
hab den ganzen FTP Müll in die Tonne geschmissen und das Ganze mit einer SFTP-Server Software gelöst.

closed
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
  • Artikel
Leserartikel Synology - Active Backup for Microsoft365 M365 Office365 O365
Antworten
2
Aufrufe
12.291
SVΞN
SVΞN
T
Eierlegendewollmilchsau - Home Server Projekt (Achtung viel zu lesen!)
Antworten
8
Aufrufe
5.349
tony_mont4n4
T
DonDonat
Anne Pro 2 Review: Preis-/ Leistungs-König oder hübscher Briefbeschwerer?
Antworten
5
Aufrufe
14.435
xsefa
X
-NebelWanderer-
(Erfahrungsbericht) QNAP vs. Synology
2 3
Antworten
59
Aufrufe
114.959
haep
H
Shizzle
[PlayStation Meeting 2013 ] Live-Stream, Live-Blog und Diskussion
17 18 19
Antworten
374
Aufrufe
38.188
AU-MKK
A
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz