爛泥：Server-U FTP與AD完美內建方案詳解

最近老大給了咱一個任務，那就是把公司的檔案伺服器、FTP伺服器、郵件伺服器進行遷移并作相應的整合。

登陸背景檢視了，公司目前正在使用的方案。FTP伺服器使用的是Server-u FTP，驗證方式選擇的windows身份驗證。檔案伺服器使用的windows本身自帶的NTFS權限進行配置設定的，而郵件伺服器使用的是IBM的domino。

既然知道了現在使用的方案以及相關的軟體，那就整合呗。參考了下Server-U FTP最新版是支援AD方式與LDAP方式驗證的，同時也發現domino也是支援AD的，不過聽說配置很複雜。有關AD與domino的內建，我會在下一篇文章中進行講解的。這次我們隻進行AD與Server-U FTP的講解。

要進行Server-U與AD的內建，對我們有以下幾點要求：

1、 對必須Server-U非常熟悉，能熟練的進行對Server-U進行各項配置。

2、 對AD必須非常熟悉，能獨立的安裝、配置、操作AD。

3、 對NTFS的權限配置要知道，并且能按照要求進行相關的配置。

我們以下的全部試驗是在伺服器windows server 2003 企業版下進行的，IP為192.168.128.133，用戶端為XP，IP為192.168.128.134。

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187813eLX3.jpg"></a>

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187814xoZY.jpg"></a>

首先、我們要安裝并配置好AD，有關AD的安裝及配置各位可以去百度或者google中去搜搜吧，在這我就不做多餘的講解了。

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187815R3Hj.png"></a>

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187816gTOY.jpg"></a>

以上是AD正确配置的相關顯示資訊，這樣配置完畢後我們要建立相應的組織機關。其中組織機關的名稱一定不能是中文，這個千萬要記着，要不然在與Server-U進行內建後FTP是無法登陸的。

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187817HoaW.png"></a>

在此我們建立一個組織機關，截圖如下：

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187817w6m6.png"></a>

然後，我們在“erxian”和“ceshi”這兩個組織下分别建立一個使用者“erxian1”和“ceshi1”：

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187818YkDN.jpg"></a>

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187819oyy1.jpg"></a>

AD中的相關配置就完成了，下面主要是進行Server-U中的配置。

安裝完成Server-U後，會提示你建立一個域（PS：此域與AD中域是不同的），如下圖：

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187820THsx.png"></a>

按照提示進行填寫在，完成後會再次提示你建立使用者，如下圖示：

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187821BY45.png"></a>

此時我們點選“否”，然後去控制台，找到“使用者”選項下的“配置windows身份驗證設定”：

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187821iqfw.png"></a>

在彈出的視窗中，點選“啟用windows驗證”即可，如下圖：

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187822zciK.png"></a>

然後在彈出的視窗中填寫，AD的域名即可，如下圖：

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187823zYYy.png"></a>

儲存完畢後，點選“配置OU群組”，在彈出的視窗中填寫與AD組織機關結構相同的名稱如下圖：

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187824uaVe.jpg"></a>

其中在配置此項過程中，我們可以建立相應的通路目錄，及相應目錄通路的權限：

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_13621878246rbP.jpg"></a>

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187825pMSu.png"></a>

好了，以上設定完畢後。我們開始對FTP的相關通路目錄進行設定了。我們現在的FTP根目錄是 C:\testFTP，其中該目錄下還有其他幾個目錄。如下圖：

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187826FCMz.png"></a>

其中“testFTP”目錄的NTFS權限是：

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187827W07T.png"></a>

普通域使用者是讀取和檢視的權限

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_13621878282CG0.png"></a>

目錄“測試部”、“二線部”屬于各自的組織機關的成員都能進行各自目錄的全部權限。如下圖：

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187828KIne.png"></a>

也許你會問，此圖中怎麼沒有看到單獨的使用者通路權限呢？那是因為圖中的“二線部”是一個組，這個就是AD中的一個組了。上圖中權限是隻要是AD的二線部組中的所有成員都可以對目錄“二線部”進行相關的操作。

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187829Suqd.jpg"></a>

我們為什麼要這樣操作呢？主要是為了以後我們，操作的友善。如果新來一位人員，我們隻需要添加一個新的賬戶，然後把他添加到該組中就可以了。以後他的權限，我們就不需要配置了。

好了以上終于配置完畢了，我們現在登陸用戶端進行相關的測試吧。

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187830EjCu.jpg"></a>

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_1362187831BjL5.jpg"></a>

通過以上截圖，我們可以知道現在“erxian1”使用者，已經可以登陸FTP，同時還可以在“二線部”此目錄下建立檔案夾。那麼我們此時切換到“測試部”目錄下看看能不能進去。

<a href="http://ilanni.blog.51cto.com/attachment/201303/2/526870_13621878328qsU.jpg"></a>

可以看到提示沒有權限通路。那就說明我們的目的達到了，通過Server-U提供FTP服務，由AD來提供賬戶，由NTFS進行權限的設定。

PS：其實還有一個問題，那就是，Server-U和NTFS都可以設定權限，那麼最後的權限到底是如何的呢？

這個問題，經過我測試最後的權限是疊加的……

本文轉自 爛泥行天下 51CTO部落格，原文連結：http://blog.51cto.com/ilanni/1143440