Глава VIII - Домены



 1 - Обзор


Домены - это хранилище ваших учётных записей.

Настройка домена является важнейшим этапом, т.к. запуск домена означает появление нового сервера в ожидании пользователей.

Именно в настройках домена задаются параметры IP и SSL.

630x461 (19966 bytes)


Выбор любой основной категории (Домен, Настроить, Безопасность) приведет к отображению страницы с описанием подкатегорий.

 2 - Мастер


Мастер поможет вам настроить новый Домен, подсказав основные опции, которые необходимо установить.

Шаг первый : выберите имя домена, абсолютные пределы числа клиентов и наибольшее количество соединений с одного IP

425x342 (9103 bytes)


Шаг второй : выберите IP, который будет использоваться доменом (по умолчанию *, для всех IP), укажите номер порта (по умолчанию 21), решите, нужно ли вам SSL-шифрование (явное/неявное).

425x342 (8627 bytes)


Шаг третий : если вы задействовали SSL, следует выбрать или создать сертификат.

425x342 (8175 bytes)


Шаг четвёртый : выберите, какие журналы необходимо вести (по умолчанию, передачи, полоса пропускания).

425x342 (8900 bytes)


Последний шаг : если вы хотите создать анонимную учётную запись домена, установите соответствующий флажок и выберите домашний каталог.

425x342 (7653 bytes)


Окно, содержащее все настройки, будет показано после нажатия на кнопку Завершить (это можно отключить через Администратор / Сервис / Параметры / Отображать свойства домена после создания).

 3 - Настройки


630x461 (16723 bytes)


Статус домена : в сети, автономная работа, закрыт (на обслуживание).
Макс. клиентов : Наибольшее число одновременно подключённых пользователей.
Макс.соединений с одного IP : Наибольшее число одновременно подключённых пользователей с одного IP-адреса.

 4 - Аутентификация


Здесь представлены настройки Аутентификации.

624x436 (13648 bytes)


Аутентификация по умолчанию предусматривает использование заданного администратором пароля учётной записи пользователя. Используйте эту опцию, если не очень хорошо понимаете дополнительные настройки (или просто полагаете, что вам не нужна расширенная аутентификация), в таком случае, не меняйте настройки на этой странице.

Список методов аутентификации : разрешить/изменить новый метод аутентификации (см. ниже).

Отключить аутентификацию по умолчанию : если заданы дополнительные методы аутентификации, вы можете запретить использовать встроенную аутентификацию (проверка пароля учётной записи пользователя).
Макс.число попыток входа : Ограничить число последовательностей USER/PASS.
Задержка при ошибке входа : установить задержку после команды PASS, если аутентификация неудачна (направлено против методики перебора паролей).
Перенаправить неверный логин : если аутентификация неудачна, произойдёт перенаправление на другую учётную запись.

Расширенная аутентификация :

Встроенная аутентификация G6FTP Server, несмотря на простоту и удобство использования, может показаться недостаточной в некоторых случаях, таких как, например, сайты, управляемые базами данных.
Чтобы заполнить этот пробел, вкладка настроек аутентификации позволяет настроить альтернативные (дополнительные) методы входа на доменном уровне.

Чтобы задать новый метод аутентификации, щёлкните на кнопке "+", появится новое окно с настройками.

481x324 (9841 bytes)


Имя : название метода.
Префикс : префикс будет использоваться для поиска соответствующих учётных записей среди учётных записей сервера в случае, если логин/пароль совпадают с методом аутентификации.
Метод : База данных пользователей NT, База данных ODBC ...

1) База данных пользователей NT :

Домен : задайте домен NT, содержащий учётную запись пользователя windows (пустое поле означает локальный домен).

В случае успешной аутентификации по базе данных пользователей NT, соответствующая учётная запись сервера будет построена следующим образом : Префикс учётной записи + Тип учётной записи NT (например : "NT_" + "guest").
Существует три типа возвращаемых значений для учётных записей NT : "admin", "user", "guest".

Приведём пример с заданным правилом типа Имя = "NT", Префикс = "NT_", Метод = "База данных пользователей NT" :

- Пользователь предоставляет логин = "Charly", пароль = "1a2b3c"
- Аутентификация NT возвращает значение "NT_admin" программе G6FTP Server, если "Charly" - Администратор, "NT_user" - если он обычный пользователь, "NT_guest" - гость.
- Если аутентификация NT завершается неудачно, будет испробован следующий метод аутентификации (и так далее, пока не останется правил; затем будет испробована встроенная аутентификация сервера, если не установлен флажок "Отключить аутентификацию").

В случае успешной аутентификации NT, соответствующая учётная запись G6FTP Server будет называться "NT_user", поэтому её следуте настроить.
(видно, что следует создать всего 3 учётные записи, из-за свойств расширенной аутентификации не все свойства учётной записи пользователя будут применены, т.к. их нельзя хранить для каждого пользователя).

Мы предлагает настроить основную учётную запись с правами доступа, основанными на имени учётной записи (в нашем случае это примерно равно '/', соответствующему 'c:\ftp\$DOM_NAME\$USR_ACCOUNT\').

2) База данных ODBC :

Использование базы данных ODBC позволяет вам облечь управление паролями в конкретную внешнюю форму. Типичный пример - сайт, управляющийся базой данных, с динамически создаваемыми учётными записями, которые разрешают/запрещают доступ по подписке.

Связывающая строка : Связывающая строка ODBC необходима для доступа к базе данных (пример приведён в выпадающем списке).
Запрос : SQL-запрос, который вернёт имя учётной записи (например : 'SELECT password, account FROM ftp_auth WHERE uid=%s' , где 'password' - это предложенный пароль, '%s' - предложенный логин, который будет заменён при выполнении запроса).

Как и при аутентификации NT, будет возвращено название учётной записи.

Приведём пример с заданным правилом типа имя = "DB", Префикс = "DB_", Метод = "База данных ODBC", база данных содержит таблицу следующего вида : id = "1", uid = "Charly", password = "1a2b3c", account = "Charly"

- Пользователь предоставляет логин = "Charly", пароль = "1a2b3c"
- Аутентификация БД вернёт "DB_Charly" программе G6FTP Server.
- Если аутентификация БД завершается неудачно, будет испробован следующий метод аутентификации (и так далее, пока не останется правил; затем будет испробована встроенная аутентификация сервера, если не установлен флажок "Отключить аутентификацию").

Charly войдёт в систему под учётной записью "DB_Charly".

3) Другое : зарезервировано для использования в будущем.

 5 - Разное


624x436 (12773 bytes)


Защита от повторных соединений (Anti-Hammering) :

Включено : включить/отключить защиту от повторных соединений.
Сброс при входе : успешный вход на сервер сбрасывает счётчик подключений.
Блокировать IP xx мин., если xx попыток за xx секунд : счётчик будет отслеживать подключения и считать их; если число подключений в период будет превышено, IP пользователя будет заблокирован.

Файлы :

Удалять файлы в Корзину : файлы удаляются в Корзину, при необходимости они могут быть восстановлены (убедитесь, что Корзина достаточно велика - в настройках Windows).
Разрешить удалять файлы с атрибутом "только чтение" : могут быть удалены файлы с атрибутом "только чтение" (если есть право доступа на удаление).

 6 - Журналы и отчёты


Журналы - это ключевой пункт ваших сервера и доменов, они будут информировать вас, что происходит на вашем FTP сервере.

Вот доступные настройки :

624x436 (13668 bytes)


Вести журнал : включить, отключить ведение журнала.
Ограничить размер : файл журнала будет перезаписан, если он достигнет заданного размера (переименование по принципу .0, .1, .2 ...)

Кэш включён : включить, отключить кэш : кэш уменьшает нагрузку на жёсткий диск, т.к. запись происходит только тогда, когда кэш заполнен или устарел, актуально для серверов с высоким траффиком.
Ограничить размер : журнал будет записываться каждые x КБайт (по умолчанию 64КБ).
Ограничить время : журнал будет записываться каждые x секунд, вне зависимости от того, заполнен он или нет (по умолчанию 60 с.).

(На сильно загруженных серверах увеличение Ограничения по размеру и Ограничения по времени уменьшает нгрузку на жёсткий диск, но увеличивает объём используемой памяти)

Настройка :

Имя : название вашего журнала.
Тип журнала : тип создаваемого журнала (обычный, передачи, другой)

1) Обычный журнал

Стандартный журнал, содержащий команды и ответы клиента и сервера.

Метод : позволяет чередовать файлы журнала (единый файл, ежедневно, еженедельно, ежемесячно, ежегодно)
Путь к файлу : расположение файла журнала, в пути можно использовать теги, например :$DOM_NAME.log
Записывать в файл : выберите, что писать в файл : выборочно, всё, ничего, только команды клиент/сервер, только комментарии.
Записывать в файл, задать : детальное определение параметров, записываемых в журнал.
Выводить на экран : то же, что и "Записывать в файл", но для вывода на экран клиента Администратора.
Выводить на экран, задать : то же, что и "Записывать в файл, задать", но для вывода на экран клиента Администратора.

2) Передачи

Журнал, содержащий только информацию о передачах файлов, загрузках/закачках.

Журнал : что писать в журнал : загрузки, закачки, то и другое

Метод : позволяет чередовать файлы журнала (единый файл, ежедневно, еженедельно, ежемесячно, ежегодно)
Путь к файлу : расположение файла журнала, в пути можно использовать теги, например :$DOM_NAME-transfers.log

3) Полоса пропускания

Отобразить использование полосы пропускания за последние 5 минут : график будет содержать данные о загрузках, закачках, минимальном, максимальном, среднем значениях за последние 5 минут.
Отобразить использование полосы пропускания за последний час : график будет содержать данные о загрузках, закачках, минимальном, максимальном, среднем значениях, пиковых параметрах за последний час.
Отобразить использование полосы пропускания за последние сутки : график будет содержать данные о загрузках, закачках, минимальном, максимальном, среднем значениях, пиковых параметрах за последние сутки.

4) W3C

Записывать в файл : выберите, чтобы запись шла в файл.
Выводить на экран : то же, что и "Записывать в файл", но для вывода на экран клиента Администратора.

Метод : позволяет чередовать файлы журнала (единый файл, ежедневно, еженедельно, ежемесячно, ежегодно)
Путь к файлу : расположение файла журнала, в пути можно использовать теги, например :$DOM_NAME.log

5) Другое : зарезервировано для использования в будущем.

Вы можете создать несколько различных журналов, чтобы лучше осветить информацию с целью архивного хранения в G6FTP Server. Журналы и отчёты могут быть просмотрены после создания в Домены / yourdomain.com / Журналы и отчёты.

244x194 (4929 bytes)


Пример

Рассмотрим настройку основного журнала вашего домена.

- откройте Свойства домена
- выберите "Журналы и отчёты"
- нажмите Добавить (кнопка +)
- введите новое имя, скажем, "default"
- Выберите тип "Обычный"
- В качестве метода выберите "Журнал меняется еженедельно" (мы хотим, чтобы сервер обновлялся еженедельно)
- оставьте значение пути по умолчанию (журналы будут записываться в подкаталог /logs в установочном каталоге сервера)
- оставьте "Всё" в строках "В файл" и "На экран".

Voila, вы создали журнал по умолчанию, в который будет писаться всё и который будет меняться каждую неделю. Нажмите "Ok".

В окне "Журналы и отчёты" установите флажок "Вести журнал", чтобы начать журналирование, если вы хотите, чтобы файл журнала менялся по достижении заданного размера, например, 5 МБ, введите "5" в строке "Ограничить размер".
(будут последовательно созданы файлы с именами logfile.0, logfile.1 ... в дополнение к еженедельно изменяемым именам)

 7 - Сообщения


Если вы полагаете, что встроенные сообщения слишком сложны для пользователей, или хотите перевести их, вы можете определить свои собственные значения.

Эта страничка позволит вам настроить новые сообщения :

624x436 (15018 bytes)



  • Change directory
  • Domain closed
  • File retrieved
  • File stored
  • List
  • Logged in
  • System
  • User quit
  • Welcome message


Сообщение по умолчанию отображается внизу во время правки. Вы также можете использовать теги в сообщении.
(Примечание : не нужно задавать код ошибки, сервер сам отформатирует сообщение перед отправкой его клиенту).

 8 - Заблокированные файлы


? Заблокированные файлы - это файлы, которые не могут храниться на сервере.
Вы можете задать маску файлов/пути (поддерживаются ?, *) : *.jpg, c:\path\images_200?\

Примечания :
- правила не применяются к загрузкам, только к закачке на сервер
- правила также применяются при переименовании файла

624x435 (11235 bytes)


 9 - Псевдонимы пользователя


Псевдонимы пользователя позволяют вам назначать различные имена (=логины) для одной учётной записи.
Это может быть полезно для анонимной учётной записи, которая иногда называется "ftp" или "guest", в таком случае, вам всего лишь нужно добавить 2 псевдонима (guest, ftp) к анонимной учётной записи.

624x436 (12052 bytes)


 10 - Скорость передачи


624x436 (13218 bytes)


Разное :

Не ограничивать скорость для локальных IP-адресов : Не ограничивать скорость для клиентов из локальной сети.

Наибольшая скорость :

Загрузка : сервер не будет передавать файлы быстрее, чем указано здесь.
Закачка : сервер не будет принимать файлы быстрее, чем указано здесь.

 11 - Предел передачи


624x436 (12219 bytes)


? Текущее значение : всего МБайт передано.
Макс : максимумальное число МБайт, которое может быть передано.

Сброс (ежедневно, еженедельно, ежемесячно) : ограничения будут сбрасываться каждый выбранный период.

При помощи данной опции вы в качестве хостинговой компании можете назначить максимум трафика в месяц пользователю.

 12 - Статистика


624x436 (12999 bytes)


? Подключения : число соединений.

Логины : количество пользователей, вошедших с данным логином.
Неудачные попытки входа : число неудачных подключений.

В данный момент подключено : число пользователей, подключённых к серверу в настоящее время.

Последнее подключение : дата последнего подключения.
Последнее имя пользователя : последний использованный логин (для псевдонимов).
Последний IP : последний известный IP.

Неудачных/прерванных закачек : число неудачных закачек.
Файлов закачано на сервер : число закачанных файлов.
Закачано : количество закачанной информации (байт).

Неудачных/прерванных загрузок : число неудачных загрузок.
Файлов загружено : число загруженных файлов.
Загружено : количество загруженной информации (байт).

Вы можете скопировать текущую статистику в буфер обмена или сбросить её при помощи кнопок панели инструментов.


 13 - События


Настройки событий полезны для действий при наступлении события на сервере.

624x436 (11874 bytes)


OnClientBanned : клиенту заблокирован доступ на сервер.
OnClientConnected : подключился новый клиент.
OnClientDisconnected : клиент отключился.
OnClientHammering : клиент сильно превышает число соединений (соединяется снова и снова).
OnClientLoggedIn : клиент успешно вошёл на сервер.
OnClientTimeOut : соедиенние клиента прервано по таймауту.
OnDomainClosed : домен отключён.
OnDomainOpened : домен активен.
OnDomainStarted : создан домен.
OnDomainStopped : удалён домен.
OnDirCreated : создан новый каталог.
OnDirDeleted : удалён каталог.
OnEveryDay : срабатывает каждый день (в полночь).
OnEveryHour : срабатывает каждый час.
OnFileBanned : попытка закачать заблокированный файл.
OnFileDeleted : файл удалён.
OnFileDownloaded : файл загружен.
OnFileRenamed : файл переименован.
OnFileUploaded : файл закачан.
OnFileUploadFailed : закачка файла завершилась неуспешно.
OnIPChanged : (один из) IP сервера поменялся.
OnLogFileRotated : сменился файл журнала.
OnQuotaExceeded : квота учётной записи превышена.
OnSameIPConnect : попытка соединения с IP, который уже подключён к серверу.
OnTooManyClient : подключено слишком много клиентов.


Например, скажем, вы хотите переместить все закачанные файлы в другой каталог, к которому нет общего доступа по ftp.
Решение состоит в том, чтобы создать правило для события OnFileUploaded :
- выберите Добавить (+ на панели инструментов)
- выберите событие OnFileUploaded в выпадающем списке
- выберите скрипт или приложение, которое будет перемещать файл в другое место или введите "c:\temp\movescript.bat $USR_FILE_83"
- создайте movescript.bat : откройте Блокнот, выберите Меню / Новый, запишите "move %1 c:\safeplace\", щёлкните Меню / Сохранить как, введите c:\temp\movescript.bat.

Каждый раз, как файл будет закачан, он будет перемещён в c:\safeplace\

Эта опция поддерживает теги из главы "Теги и настройка", вы не можете использовать все теги из-за их свойств.

 14 - Скрипты


624x436 (11347 bytes)


Для получения дальнейшей информации обратитесь к главе : Скрипты

 15 - Команды SITE


? Щёлкните, чтобы задать новую команду SITE




Доступные теги командной строки :

$_ : число параметров.
$0 : параметры не анализируются.
$1 : параметр 1
...
$n : параметр n

Вы также можете использовать общие теги : Теги

Если вы хотите, чтобы вывод приложения был доступен пользователю, установите флажок "перенаправить вывод приложения клиенту". Сервер предполагает, что команда возвращает форматированный вывод (с кодом ошибки).
Также полезно задать таймаут, если приложение слишком долго работает.


 16 - Настройки безопасности


624x436 (12239 bytes)


Блокировать временно запрещённые IP : Заблокированные IP-адреса/Узлы (автоматическая блокировка или список запрещённых) не будут получать сообщений от сервера, они просто игнорируются.
Изменять IP для данных в соответствии с исходным IP клиента : В соответствии с IP-адресом клиента (LAN/WAN), будет изменен IP передачи данных для минимизации проблем. Используется в ответе на команду PASV.
Преобразовывать IP-адрес клиента : Определять имя узла по IP-адресу (80.65.230.10 = ns0.gene6.net)
Чередовать передачи по всем доступным IP-адресам : При начале передачи из всех доступных IP будет выбран локальный для балансировки загрузки.
Невидимые сокеты : Сервер будет невидим для заблокированных пользователей, как если бы он был выключен.

 17 - Привязка IP


Важная часть домена.

624x436 (13405 bytes)


Чтобы запустить домен, необходимо выбрать IP, порт и протокол. Щёлкните по кнопке Добавить.

В качестве IP можно указать * (все доступные IP; просто, если у вас всего один домен) или IP из списка доступных IP.

Важное замечание : если вы используете маршрутизатор, бесполезнл здесь вводить ваш публичный IP, т.к. он соотнесён не с вашим компьютером, на котором запущен FTP-сервер, а с маршрутизатором; компьютеру назначен локальный приватный IP (см. раздел Учебные пособия, чтобы правильно настроить сервер, находящийся за маршрутизатором).

По умолчанию используется 21 порт (стандартный порт FTP), но вы можете выбрать и другой порт для вашего домена (1021, 2156, 65021 ...)

Домен может прослушивать несколько различных IP и портов по разным протоколам, просто добавьте новые записи, чтобы начать использовать другие IP/порты/протоколы.

Безопасность : выбор протокола :

Только стандартные сессии FTP : обычный протокол FTP, соответствует RFC959, воспринимается всеми FTP-клиентами.
Только стандартные сессии FTP, разрешить явное (explicit) SSL-шифрование : в дополнение к FTP, явное SSL-шифрование может использоваться для повышения уровня безопасности. Клиент при необходимости может запросить сервер переключиться в безопасный режим SSL.
Неявное (implicit) SSL-шифрование : различие между данным режимом и предыдущим состоит в том, что SSL не может быть отключён, клиент может общаться с сервером только при помощи SSL, всё шифруется.
Только явное SSL-шифрование : только шифрованная явная передача SSL, запрещены обычные соединения. Как только клиент получает приглашение сервера (220 Gene6 FTP Server v3.0.0 (Build 34) ready...), он должен передать команду AUTH, требующую шифрования всей информации начиная с текущего момента, таким образом, шифруются логин и пароль.

Рекомендуемые значения по умолчанию : *, 21, Только стандартные сессии FTP, разрешить явное (explicit) SSL-шифрование.

Пассивный режим :

Отключить пассивный режим : вы можете захотеть отключить соединения в пассивном режиме, хотя это и не является хорошей идеей.
Перенаправить PASV IP : при нахождении за маршрутизатором, публикуемый в пассивном режиме IP может не является корректным публичным IP, назначенным вам; эта опция позволяет ввести ваш реальный IP или имя узла для IP пассивного режима.
Диапазон портов для пассивного режима : уменьшение диапазона открытых для пассивного режима портов может быть полезно, если используется брандмауэр или маршрутизатор. При использвовании маршрутизатора, данный диапазон портов следует перенаправить.

Активный режим :

Разрешить соединения к портам < 1024 : т.к. порты < 1024 могут резервироваться узлом для служб, таких как pop3, smtp, http, то резервирования портов для данных на незанятые порты может послужить причиной невозможности подключения к данным службам . (этот метод может использоваться для сканирования 3е-стороннего узла)

 18 - Доступ по IP


?


Задание ограничений, таких как доступ по IP, позволяет вам запретить доступ или разрешить доступ только пользователям, которым вы доверяете.
Права могут назначаться как по IP, так и по имени узла.

Например :

+*.gene6.net (единственное правило) позволяет любому пользователю с доменным именем gene6.net подключиться к серверу; всем, кто не соответствует правилу, доступ будет запрещён.

-*.gene6.net (единственное правило) позволяет подсоединяться всем, кроме пользователей домена gene6.net.

Вы также можете использовать символы *,?,[x-y] в масках : [192-193].16?.[0-10].*, *.net?.nerim.fr - это допустимые маски.

Имена, задаваемые в списке доступа по IP, не определяются во время работы. Сервер берёт IP клиента, обращает DNS и сравнивает со списком доступа к IP/домену. Домен dyndns работает только в направлении от Имени к IP, по IP нельзя определить доменное имя dyndns, обычно только доменное имя провайдера, например, 12-20-14-25.yourisp.com.


 19 - SSL


SSL, протокол защищенных сокетов, - это метод шифрования, используемый в G6FTP Server для шифрования ваших данных.
Для использования SSL необходимо прежде всего создать сертификат и подписать его.
Использование SSL в передачах данных гарантирует, что эти данные не могут быть прочитаны никем помимо получателя.
(см. : http://developer.netscape.com/tech/security/ssl/howitworks.htm)

Вам также потребуется FTP-клиент, поддерживающий SSL, для установки подключения между клиентом и сервером.

624x436 (10849 bytes)


Сертификаты :

Файлы сертификата и ключа : выберите сертификат, который вы создали через Управление сертификатами.