Base de connaissances Serv-U Sommaire Activer le support des bases de données Windows NT – SAM / Active Directory Administrer Serv-U à distance Ajouter manuellement un mot de passe crypté dans le fichier ServUDaemon.ini Autoriser les cryptages SSL peu sécurisés
Bloquer certains types de fichiers Boîte « Login as » Changer le compte utilisateur NT/XP/2000 pour le démarrage de Serv-U en tant que service système Chiffrage MD4 et MD5 pour l’administration à distance Configuration d’un pare-feu autorisant l’accès à Serv-U Configuration de Serv-U afin qu’il fonctionne avec un routeur ou un pare-feu Configuration du pare-feu Firebox 500 de WatchGuard Configurer la journalisation Configurer plusieurs domaines dans Serv-U Corporate ou Professional Configurer Serv-U pour autoriser les connexions sécurisées Créer un dossier pour les fichiers chargés dans Serv-U Créer vos propres fichiers DLL pour Serv-U Dans Windows XP SP 2, Internet Explorer est configuré par défaut en mode passif (PASV) Déplacer Serv-U ou effectuer une sauvegarde de ses paramètres Echec lors de la synchronisation entre Dreamweaver et Serv-U Empêcher les utilisateurs de voir les chemins complets Erreur : Home Directory does not exist (le répertoire d’accueil n’existe pas) Erreur : Only client IP address allowed for PORT command (Seule l’adresse IP du client est autorisée pour la commande PORT) Erreur : SSL Certificate is out of date (Certificat SSL expiré) Exécuter Serv-U 2.5n (ou version précédente) en tant que service système Exécuter un fichier Batch à l’aide de la commande exec de Serv-U FXP / transferts de serveur à serveur Gestion des mots de passe uniques (OTP, MD4, MD5) Icône de la zone de notification Imposer des permissions aux utilisateurs de Serv-U sous Windows 2003 Impossible d’ouvrir un fichier du serveur dans un navigateur Impossible de connecter les clients sous Macintosh Impossible de se connecter à 127.0.0.1 Installation silencieuse Installer Serv-U dans un environnement en cluster Installer une nouvelle version de Serv-U L’onglet ODBC n’apparaît pas La date et l’heure des fichiers transférés par un client CuteFTP Pro 7 sont incorrectes Le client FTP ne voit pas les listes de répertoires ou n’arrive pas à se connecter Le fichier journal de Serv-U en détail Le port 21 est occupé Les clients FTP n’affichent pas les fichiers ou dossiers Document technique WATSOFT -2005-
Les transferts de fichiers volumineux échouent au bout de XX minutes Limitations de taille des fichiers Limiter l’espace disque attribué aux utilisateurs Message d’erreur : l’adresse écoutée n’existe pas Mettre à jour manuellement le fichier ServUDaemon.ini Modules additionnels pour Serv-U Options disponibles pour la partie [Domains] du fichier ServUDaemon.ini Options disponibles pour la partie [Global] du fichier ServUDaemon.ini Paramètres des lignes de commandes Permettre aux clients FTP de changer leur mot de passe Permettre aux utilisateurs d’accéder à plusieurs lecteurs dans Serv-U Personnaliser le message d’accueil Personnaliser les messages affichés sur le client Préserver l’horodatage d’origine d’un fichier chargé Problème de connexion SSL entre WS_FTP et Serv-U Problèmes avec les utilisateurs ayant des noms similaires Empêcher l’accès anonyme à Serv-U Règles d’accès IP Reprendre un téléchargement interrompu Restrictions concernant le nom d’utilisateur Se connecter à Serv-U depuis un navigateur Serv-U a été installé par un hacker ou un virus Serv-U Bêta Serv-U n’écoute que l’adresse IP interne Taille de la mémoire tampon pour l’envoi / la réception de fichiers Transférer Serv-U sur un autre ordinateur Trend Micro (Antivirus) identifie Serv-U comme un cheval de Troie ou un virus Utiliser Serv-U avec Microsoft ISA 2004 Server Vulnérabilité aux attaques par déni de service Vulnérabilité sur les serveurs FTP Serv-U permettant l’augmentation des privilèges d’un utilisateur local
Document technique WATSOFT -2005-
Boîte « Login as » Dans les versions 4.1.0.3 et ultérieures de Serv-U, une boîte de dialogue intitulée Login as (Se connecter en tant que) apparaît s’il n’y a pas de nom d’utilisateur et de mot de passe correspondant à l’url.
Pour les versions 4.1.0.2 et précédentes, le nom d’utilisateur et le mot de passe doivent être au format suivant : ftp://nomd’utilisateur:motdepasse@adresseFTP
Sommaire
Permettre aux clients FTP de changer leur mot de passe Avec Serv-U, les utilisateurs peuvent changer leur mot de passe. Pour activer cette option vous devez : -Sélectionner le compte utilisateur que vous avez enregistré dans Serv-U -Sélectionner l’onglet General pour cet utilisateur -Cocher l’option Allow user to change password (permettre à l’utilisateur de changer son mot de passe) Pour changer son mot de passe, le client doit envoyer une commande comme indiqué ci-dessous. FTP Voyager fait partie des rares clients FTP qui supportent cette commande. SITE PSWD Cette extension sert à changer le mot de passe d’un utilisateur via un logiciel client FTP. En règle générale, avec le protocole FTP, l’utilisateur ne peut pas changer son mot de passe mais s’il le peut, cela facilite la tâche de l’administrateur système. La syntaxe est la suivante : SITE PSWD "ancienmotdepasse" "nouveaumotdepasse" Il peut s’avérer utile de mettre chacun des mots de passe entre guillemets, en particulier si l’un d’entre eux contient des espaces. La ligne de commande du client vous permet également d’avoir recours à cette commande par le biais de la commande « quote ».
Sommaire
Document technique WATSOFT -2005-
Permettre aux utilisateurs d’accéder à plusieurs lecteurs dans Serv-U Nous vous recommandons de faire usage de l’option Virtual Directories (répertoires virtuels), en procédant comme suit : -Sélectionnez l’option Settings dans l’arborescence -Cliquez sur le bouton Add dans le champ Virtual Path Mappings -Indiquez le chemin physique, par exemple : Q:\ -Sélectionnez l’endroit où vous souhaitez que le lien apparaisse (par exemple : %ACCUEIL%, ou c:\ftp\etc …) -Attribuez au dossier le nom de votre choix Assurez-vous que l’utilisateur possède l’accès au répertoire virtuel. Par exemple, si vous voulez que l’utilisateur « Fred » puisse utiliser le chemin virtuel de Q:\, vous devez lui autoriser l’accès à Q:\. Pour cela, cliquez sur l’onglet Dir Access dans les paramètres utilisateur.
Sommaire
Déplacer Serv-U ou effectuer une sauvegarde de ses paramètres Serv-U enregistre par défaut tous les paramètres définis dans les fichiers ServUDaemon.ini et ServUAdmin.ini. (Si vous utilisez la version 2.5n ou précédente, il s’agit du fichier Serv-U.ini.). Copiez ces fichiers sur un lecteur ou disque amovible. Puis, lorsque vous téléchargez un nouvel exemplaire de Serv-U, ajoutez ces fichiers .INI dans le répertoire d’installation afin de restaurer vos paramètres. Si vous avez choisi d’enregistrer l’un de vos domaines dans le répertoire Windows, vous devez également exporter la clé de registre : "HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft\" pour effectuer la sauvegarde. Pour déplacer Serv-U sur un autre PC, importez cette branche dans le registre de ce PC. REMARQUE : Ouvrez les fichiers avant de les sauvegarder : tous les paramètres du serveur y sont enregistrés. Assurez-vous que les vôtres y figurent bien.
Sommaire
Bloquer certains types de fichiers Afin d’éviter les abus, les administrateurs bloquent parfois l’accès à leur serveur pour certains types de fichiers, que ce soit pour des raisons de sécurité (fichiers exe) ou bien pour éviter les téléchargements illégaux (fichiers mp3). L’onglet Dir Access de l’utilisateur ou du groupe doit être configuré comme suit :
Cette configuration autorise l’accès complet au lecteur C:\, mais bloque l’accès à tous les fichiers exe ou mp3. Ainsi, même si de tels fichiers se trouvent sur le lecteur C:\, ils n’apparaissent pas sur les clients FTP et ces derniers ne peuvent pas non plus en envoyer. L’ordre des règles d’accès est primordial. Assurez-vous donc que la liste des types de fichiers à bannir se trouve en haut du champ Dir Access.
Document technique WATSOFT -2005-
Sommaire
Impossible d’ouvrir un fichier du serveur dans un navigateur La plupart des navigateurs Internet possèdent des fonctions FTP de base permettant d’explorer les serveurs FTP sans avoir recours à un programme spécifique. Lorsqu’un fichier s’ouvre avec un programme par défaut, le navigateur essaie de télécharger ce fichier et de l’ouvrir avec le programme associé. Avec les fichiers média du type wmv, mpg ou mp3, le programme par défaut est généralement le Lecteur Windows Média, capable de télécharger un fichier au fur et à mesure qu’il le lit (streaming). Dans ce cas, le navigateur essaie d’effectuer un transfert de serveur à serveur (FXP) en coordonnant le flux de données entre Serv-U et le Lecteur Windows Média. Cependant, cette opération est impossible si dans les paramètres de Serv-U, l’option Block FTP_bounce attacks est activée (bloque les attaques « FTP_bounce », visant à usurper l’adresse IP du serveur). Deux solutions s’offrent à vous pour contourner le problème : soit décocher l’option Block FTP_bounce attacks, (mais Serv-U sera vulnérable à ce type d’attaque), soit télécharger le fichier sur votre ordinateur avant de l’ouvrir.
Sommaire
L’onglet ODBC n’apparaît pas Deux raisons peuvent expliquer ce problème. Premièrement, n’oubliez pas que seule la version Corporate supporte les bases de données ODBC. D’autre part, l’onglet ODBC ne s’affiche que si un domaine est créé en tant que domaine ODBC. Il n’est pas possible de convertir un domaine déjà existant.
Sommaire
Changer le compte utilisateur NT/XP/2000 pour le démarrage de Serv-U en tant que service système Lorsque Serv-U démarre en tant que service système, il utilise sous XP/2000/NT le compte système. Or, si le compte système ne dispose pas de suffisamment de droits d’accès aux répertoires de votre ordinateur ou de votre réseau, il peut s’avérer nécessaire de changer de compte lors du démarrage de Serv-U. Voici la procédure à suivre : -Cliquez sur Démarrer / Panneau de configuration / Outils d’administration (Outils d’administration ne figure pas dans Windows NT, l’icône Services se trouve dans le Panneau de configuration) -Ouvrez le dossier Services -Effectuez un clic droit sur Serveur FTP Serv-U et cliquez sur Propriétés
Document technique WATSOFT -2005-
-Sélectionnez l’onglet Connexion, puis changez d’utilisateur. REMARQUE : Ceci ne fonctionne que sous les systèmes d’exploitation basés sur Windows NT (Windows NT, 2000, XP) et non sous Windows 9x (95, 98, Me).
Sommaire
Les caractères chinois ne s’affichent pas dans Serv-U Ce problème se pose fréquemment. En effet, les caractères occidentaux sont généralement composés d’un seul octet alors que les orientaux peuvent en utiliser jusqu’à trois. Cela fonctionne dans la plupart des cas, sauf lorsque les noms de fichiers contiennent des caractères formés de deux ou trois octets et utilisant des valeurs ASCII (« \ », « / », ou « : ») ; car Serv-U les identifie à tort comme étant des séparateurs de chemin. Il est possible de résoudre ce problème en transformant tout en UNICODE, mais cela n’est pas supporté par Win9x/Me. En résumé, de nombreux changements doivent être effectués et l’équipe de développement doit identifier tous les endroits où la chaîne est interrompue pour modifier le code.
Sommaire
Paramètres des lignes de commandes Pour l’administrateur : Paramètre des lignes de commandes Le programme Administrator se trouve dans le fichier ServUAdmin.exe. Il permet d’employer différents paramètres pour les lignes de commandes : -/s = arrêter les instances actives de Serv-U Admin -/n = démarrer Serv-U Admin sans afficher le « splash screen » (écran qui s’affiche lors du démarrage d’un programme) -/f = mettre Serv-U Admin à l’avant-plan ou démarrer si nécessaire
Pour le Daemon* Paramètres des lignes de commande Le programme ServUDaemon.exe assure le support de certaines lignes de commandes pouvant s’avérer utiles lorsque l’on veut contrôler le serveur depuis un programmateur. Sans ces paramètres, le daemon* démarre au lancement du programme, sauf si le serveur est installé en tant que service système sous NT. Dans ce cas, il est possible d’arrêter / démarrer dans l’applet de « Services », dans le Panneau de configuration. Les paramètres de lignes de commandes sont les suivants : -/s = arrêter le serveur -/i = exécuter le serveur en tant que service système -[ini-file] = changer le chemin ou le nom du fichier ServUDaemon.ini *De l’anglais Disk And Execution MONitor, programme réalisant des tâches de fond du système
Sommaire
Configuration d’un pare-feu autorisant l’accès à Serv-U Chaque pare-feu étant différent, le traitement des requêtes FTP l’est aussi. Nous vous recommandons de consulter le fabricant de votre pare-feu afin de savoir si l’autorisation de transit du trafic FTP par ce dernier requiert des paramètres spécifiques.
Document technique WATSOFT -2005-
Ouvrez les ports 20 et 21 ainsi qu’un intervalle de ports en mode passif (exemple : 2000-2010). Dans Serv-U, configurez le domaine destiné à écouter le port 21. Cliquez sur Local server, Settings puis sélectionnez l’onglet Advanced afin de configurer un intervalle de ports en mode passif (PASV).
Sommaire
Configuration de Serv-U afin qu’il fonctionne avec un routeur ou un pare-feu Configurez le routeur afin qu’il réachemine les ports 20 et 21 vers l’adresse IP interne sur laquelle Serv-U est installé. Cela permet de transférer le trafic FTP via le routeur vers Serv-U. Le routeur doit pour cela comporter des options permettant le transfert des ports. Dans Serv-U, configurez l’adresse IP en mode passif afin de mettre en évidence l’adresse IP réelle et non l’adresse IP interne visualisée par Serv-U : -Dans votre domaine, sélectionnez Settings. -Sélectionnez l’onglet Advanced. -Saisissez l’adresse IP externe de votre connexion à Internet. Si Serv-U utilise une adresse IP dynamique, ne remplissez pas ce champ.
-Configurez l’intervalle de ports en mode passif (PASV) en procédant comme suit : sélectionnez respectivement Local Server, Settings et l’onglet Advanced afin d’afficher l’option requise.
Document technique WATSOFT -2005-
Lors de la configuration de l’intervalle de ports en mode passif, nous vous recommandons d’ouvrir les ports 2000 à 2010. Ouvrez ensuite ce même intervalle pour le routeur et appliquez-le à Serv-U. Vous devez désormais pouvoir vous connecter depuis n’importe quel client FTP en mode passif. Si ce n’est pas le cas, désactivez l’option Block "FTP_bounce"* attacks and FXP connue pour entraver certaines connexions. REMARQUE : Si vous souhaitez tester Serv-U avec un routeur ou un pare feu, nous vous recommandons d’utiliser le client FTP Voyager pour ses capacités de journalisation. De plus, nous assurons le support de ces deux produits. *Attaques « FTP_bounce », visant à usurper l’adresse IP du serveur
Sommaire
Créer un dossier pour les fichiers chargés dans Serv-U Vous avez la possibilité de créer, par le biais des règles d’accès de l’option Dir Access, un dossier où les utilisateurs pourront charger des fichiers. (N’oubliez pas que ces règles d’accès s‘appliquent du haut vers le bas). Procédure à suivre : 1. 2. 3. 4. 5.
Ouvrez Serv-U Admin Sélectionnez l’utilisateur que vous souhaitez autoriser à charger des fichiers Cliquez sur l’onglet Dir Address de cet utilisateur Ajoutez le chemin correspondant au dossier Assurez-vous que cette règle soit la première de la liste. Dans le cas contraire, cliquez sur les flèches situées sur le côté droit de Serv-U Admin
À la suite de cette opération, l’onglet Dir Acces propose deux entrées : l’une permet de charger des fichiers dans le dossier choisi, l’autre comprend les règles par défaut des répertoires auxquels l’utilisateur a accès.
Sommaire
Créer vos propres fichiers DLL pour Serv-U Serv-U possède une architecture ouverte. Il est donc possible de l’améliorer à l’aide des nombreux « event hooks » (commandes permettant de déclencher un évènement) disponibles à l’adresse suivante : http://www.serv-u.com/help, dans la rubrique Extending Serv-U.
Document technique WATSOFT -2005-
Vous trouverez également un très bon didacticiel (en anglais) sur la création de fichiers DLL à cette adresse : http://users.erols.com/bbruce/ServU_DLL.htm
Sommaire
Personnaliser le message d’accueil Par défaut, les clients FTP qui se connectent affichent le message suivant : « Serv-U FTP Server v4.1 for WinSock ready … » Si un administrateur souhaite modifier ce message, il doit : 1. 2. 3. 4. 5.
Ouvrir Serv-U Admin Sélectionner le domaine choisi Sélectionner l’option Settings de ce domaine Cliquer sur l’onglet Messages Personnaliser le message souhaité
ATTENTION : Si vous modifiez le message d’accueil, certains clients FTP (comme FTP Voyager) risquent de ne pas reconnaître Serv-U. Par conséquent, les fonctionnalités spécifiques à l’utilisation de FTP Voyager associé à Serv-U ne seront pas disponibles.
Sommaire
Personnaliser les messages affichés sur le client Vous avez la possibilité de saisir différents termes spécifiques dans les messages texte d’ouverture ou de fermeture qui s’affichent lors de l’envoi au client. En voici la liste complète (tous commencent par %) : Date / heure : %Time - l’heure affichée sur votre PC % Date - la date affichée sur votre PC Statistiques serveur : %ServerDays - Nombre de jours écoulés depuis la mise en route du serveur %ServerHours - Nombre d’heures écoulées depuis la mise en route du serveur %ServerMins - Nombre de minutes écoulées depuis la mise en route du serveur %ServerSecs - Nombre de secondes écoulées depuis la mise en route du serveur %ServerKbUp - Nombre de Ko chargés (téléchargements montants) sur le serveur depuis sa mise en route %ServerKbDown - Nombre de Ko téléchargés (téléchargements descendants) du serveur depuis sa mise en route %ServerFilesUp - Nombre de fichiers chargés (téléchargements montants) sur le serveur depuis sa mise en route %ServerFilesDown - Nombre de fichiers téléchargés (téléchargements descendants) du serveur depuis sa mise en route %LoggedInAll - Nombre total d’utilisateurs qui se sont connectés sur le serveur depuis sa mise en route %ServAvg - Débit moyen du serveur depuis sa mise en route %ServerKBps - Bande passante actuellement utilisée Paramètres serveur %MaxUsers - Nombre maximum d’utilisateurs %MaxAnonymous- Nombre maximum d’utilisateurs anonymes Infos utilisateurs %Name - Identifiant de l’utilisateur %IP - Numéro et éventuellement nom IP de l’utilisateur %Dir - Répertoire actuel attribué à cet utilisateur %Disk - Lecteur de disque attribué à cet utilisateur %DFree - Espace libre sur le disque de l’utilisateur en Ko %FUp - Nombre de fichiers chargés par l’utilisateur sur le serveur %FDown - Nombre de fichiers téléchargés
Document technique WATSOFT -2005-
%FTot - Nombre total de fichiers transférés %BUp - Nombre de Ko chargés par l’utilisateur sur le serveur %BDown - Nombre de Ko téléchargés %BTot - Nombre total de Ko transférés %TConM - Temps de connexion total en minutes %TConS - Temps de connexion total en secondes (à utiliser avec TConM) %RatioUp - Partie des téléchargements montants du ratio UL/DL* %RationDown - Partie des téléchargements descendants du ratio UL/DL* %RatioCredit - Crédit de téléchargement disponible en fonction des ratios UL/DL* (en Ko ou fichiers) %QuotaUsed - Part du quota du disque utilisée en Ko %QuotaLeft - Part restante du quota en Ko %QuotaMax - Maximum d’espace disque pouvant être utilisé (en Ko) Nombre d’utilisateurs : %UNow - Nombre d’utilisateurs actuellement connectés sur le serveur FTP Serv-U %UAll - Nombre d’utilisateurs depuis la mise en route du serveur %U24h - Nombre d’utilisateurs au cours des dernières 24h %UAnonAll - Nombre total d’utilisateurs anonymes actuellement connectés %UAnonThisIP - Nombre total d’utilisateurs anonymes connectés sur cette IP %UNonAnonAll - Nombre total d’utilisateurs non anonymes actuellement connectés %UNonAnonThisIP - Nombre total d’utilisateurs non anonymes connectés sur cette IP %UThisName - Nombre total d’utilisateurs actuellement connectés sur cette IP avec ce nom d’utilisateur Les messages relatifs aux téléchargements montants et descendants ne fonctionnent que pour la session active (ils n’affichent pas le total de plusieurs sessions). L’emploi de ces messages n’est pas toujours pertinent. Par exemple, il est inutile d’ajouter « %disk » dans le message d’ouverture puisque l’utilisateur n’est pas encore connecté. Ils peuvent par contre s’avérer pratiques pour les changements de répertoire et de messages de connexion. « %ServerDays », « %ServerHours », « %ServerMins » et « ServerSecs » sont complémentaires : le nombre d’heures correspond au temps restant après avoir comptabilisé le nombre de jours, idem pour les minutes et les secondes. Tout ceci doit vous paraître assez théorique. Voici donc un exemple de message d’ouverture : Cliquez sur le bouton situé à côté de Signon message file (cette rubrique se trouve dans votre domaine : cliquez sur Settings puis Messages). Une boîte de dialogue s’affiche et vous propose de choisir les fichiers. Entrez le nom du fichier dans lequel vous souhaitez enregistrer le message d’ouverture, par exemple C:\SERV-U\SIGNON.TXT. Cliquez ensuite sur Open : le fichier s’ouvre dans l’éditeur de texte. Il ne vous reste alors qu’à saisir le message : Bienvenue, nous sommes le %date à %time, vous êtes l’utilisateur %unow de %maxusers. Au cours des dernières 24 heures, %u24h personnes ont visité ce site. Enregistrez le message. Vous savez sans doute sous quelle forme celui-ci va s’afficher pour les utilisateurs. N’oubliez pas que les clients n’affichent en moyenne que 80 caractères par ligne et que les quatre premiers sont utilisés par le code de réponse. Si vous voulez que les utilisateurs puissent lire votre « prose », faites des lignes courtes ! (70 caractères devraient vous garantir une marge de sécurité suffisante). * UL/DL = Upload/Download, respectivement téléchargement en voie montante et en voie descendante
Sommaire
Problèmes avec les utilisateurs ayant des noms similaires Lorsque deux comptes utilisateurs sont créés avec des noms quasiment identiques, le fait d’en supprimer un risque de corrompre l’autre. Par exemple : 1. 2. 3.
Créez un nouveau compte utilisateur appelé « TestUtilisateur123 » Créez un autre compte appelé « TestUtilisateur124 » Supprimez l’utilisateur « TestUtilisateur124 »
Il semble que l’opération ait fonctionné. Cependant, si vous cliquez sur Users puis Refresh, vous constatez que l’utilisateur « TestUtilisateur124 » apparaît et « TestUtilisateur123 » est supprimé. De plus, le mot de passe de « TestUtilisateur124 » et son répertoire d’accueil sont supprimés. Pour résoudre ce problème, il faut mettre Serv-U à jour (version 4.1.0.3 ou ultérieure).
Document technique WATSOFT -2005-
Sommaire
Empêcher l’accès anonyme à Serv-U Voici les instructions à suivre : -Ouvrez Serv-U Administrator -Sélectionnez le serveur que vous désirez configurer -Sélectionnez le domaine -Allez dans la rubrique Users -Effectuez un clic droit sur l’utilisateur anonyme, puis cliquez sur Delete User, ou sur Disable account dans la sousfenêtre de droite puis sur Save dans la barre d’outils. Une fois cette opération effectuée, votre serveur n’autorisera plus les accès anonymes.
Sommaire
Options disponibles pour la partie [Domains] du fichier ServUDaemon.ini La configuration par défaut de Serv-U se trouve dans le fichier ServUDaemon.ini. Vous trouverez ci-dessous une liste des variables possibles dans la partie [Domains] de ce fichier, et des valeurs pouvant être utilisées. Si vous désirez de plus amples explications sur ces options, le fichier d’aide de Serv-U est à votre disposition en cliquant sur F1 depuis Serv-U Admin ou bien en ligne à l’adresse suivante : http://www.Serv-U.com/help (en anglais). [DOMAINS] Domain1=0.0.0.0|8.9.1.0|21|Domain Name|1|0|0 0.0.0.0 = Adresse IP du domaine. La valeur 0.0.0.0 signifie que ce domaine est configuré pour utiliser toute adresse IP disponible (Use any Available IP Address) 8.9.1.2 = Adresse IP déterminée pour autoriser le mode passif (PASV) 21 = Numéro de port du domaine 1 = Le numéro du domaine 0 = Espace réservé pour l’option Security. 0 = Autoriser uniquement les connexions normales, 1 = autoriser les connexions normales et SSL, 2 = Autoriser uniquement les connexions SSL 0 = Enregistrer dans le fichier INI, 1 = Enregistrer dans ODBC [Domain1] DynDNSEnable=1 (0 ou 1 ; 1 active l’option) DynIPName=your-ddns-domain (le nom de votre domaine) NLSTListDirs=1 (0 ou 1 ; 1 active l’option) URLDecode=1 (0 ou 1 ; 1 active l’option) SignOn=C:\custom signon message (chemin complet du fichier texte contenant le message d’ouverture) SignOff=C:\custom signoff message (chemin complet du fichier texte contenant le message de fermeture) DirChangeMesFile=C:\custom primary change dir message (chemin complet du fichier texte contenant le message de changement de répertoire principal) DirChangeMesFile2=C:\custom secondary change dir message (chemin complet du fichier texte contenant le message de changement de répertoire secondaire) Logfile=C:\logfile (chemin complet du fichier texte contenant le fichier journal) LogIPDontLog=5.6.7.8 (adresses IP qui doivent être ignorées lors de la connexion) Logging=1 (0 ou 1 ; 1 active l’option) LogFTPCommands=1 (0 ou 1 ; 1 active l’option) LogFTPReplies=1 (0 ou 1 ; 1 active l’option) LogFileFTPCommands=1 (0 ou 1 ; 1 active l’option) LogFileFTPReplies=1 (0 ou 1 ; 1 active l’option) MaxNrUsers=25 (tout nombre entier positif) RatioFree1=C:\free readme.txt (chemin complet des fichiers qui ne sont pas concernés par les ratios) IPAccess1=D|5.6.7.8 IPAccess2=A|*.*.*.*
Document technique WATSOFT -2005-
A signifie autoriser (Allow) et D refuser (Deny) ; ensuite vient l’adresse IP. L’ordre des règles est primordial. Si vous instaurez des règles de refus, assurez-vous que la dernière règle est bien Allow *.*.*.* Ainsi Serv-U refusera l’accès uniquement aux adresses indiquées, sans bloquer les autres. VirPath1=D:\Any\Folder|%HOME%|Virtual Name Informations concernant un répertoire virtuel. « D:\Any\Folder » correspond au chemin physique, et %HOME% est la variable qui permet d’afficher ce chemin virtuel dans le répertoire principal des utilisateurs. « Virtual Name » est le nom du dossier sous lequel apparaît le répertoire virtuel.
Sommaire
Echec lors de la synchronisation entre Dreamweaver et Serv-U Extrait du site de support pour Macromedia Dreamweaver : Afin d’accéder à l’horodatage du serveur, Dreamweaver crée et supprime un dossier appelé XYISNWSK. Or, il est possible de paramétrer les serveurs FTP Serv-U pour qu’ils réécrivent tous les fichiers et dossiers en bas de casse, auquel cas Dreamweaver ne trouve plus ce dossier. Par conséquent il refuse de synchroniser et affiche le message d’erreur : « No Synchronization is Necessary ». Ce problème apparaît lorsque l’option « Use only lower case for files / dirs » est activée (dans l’onglet General, en cliquant sur Servers, Local Server, puis Settings). Il suffit de la désactiver pour que la synchronisation s’effectue à nouveau. Remarque : Cette option n’est pas activée par défaut.
Sommaire
Autoriser les cryptages SSL peu sécurisés Les versions 5.2 et ultérieures proposent cette option pour des raisons de compatibilité avec des systèmes plus anciens. Nous vous recommandons vivement de ne l’activer que lorsqu’elle est réellement indispensable pour la compatibilité. En effet, ce type de cryptage n’offre guère plus de sécurité qu’une connexion normale. Si toutefois vous désirez l’activer, cliquez sur Local Server, Settings, Advanced puis Security.
REMARQUE : Cette option est désactivée par défaut.
Document technique WATSOFT -2005-
Sommaire
Activer le support des bases de données Windows NT – SAM / Active Directory Serv-U 6.0 vous offre la possibilité d’intégrer le support des utilisateurs de Windows NT – SAM / Active Directory directement dans Serv-U. Si vous effectuez des transferts FTP dans un environnement professionnel, vous pouvez assurer le support de vos utilisateurs sans devoir modifier (ou presque) la configuration. Il suffit d’installer Serv-U et de créer un nouveau domaine utilisateur Windows. Voici la procédure à suivre pour créer un domaine Windows NT-SAM / Active Directory : -Ouvrez Serv-U Administrator -Effectuez un clic droit sur Domains, puis sélectionnez New Domain -Suivez la procédure jusqu’à l’étape n° 4, qui précise le type de domaine. Dans le menu déroulant, cliquez sur Use Windows NT-SAM/AD user accounts.
-Terminez la création -Une fois le domaine créé, l’onglet Windows Accounts s’affiche dans la sous-fenêtre de droite
Document technique WATSOFT -2005-
REMARQUE 1 : Il n’est pas possible de convertir des domaines déjà existants. REMARQUE 2 : Seule la version Corporate assure le support de Windows NT-SAM / Active Directory
Sommaire
Erreur : Home Directory does not exist (le répertoire d’accueil n’existe pas) Ce problème se pose fréquemment lorsque l’on installe un accès en réseau sous NT, 2000 ou XP. En effet, Serv-U fonctionne en tant que service système et le compte LocalSystem n’a pas accès aux lecteurs du réseau. Vous avez alors le choix entre deux possibilités : - Désactiver l’option faisant fonctionner Serv-U en tant que service (fenêtre Local Server dans Serv-U Administrator) - Modifier le service Serv-U (dans le Panneau de configuration) pour se connecter en tant qu’utilisateur ayant accès non seulement au compte LocalSystem mais aussi aux lecteurs du réseau. REMARQUE : Si vous testez Serv-U, nous vous recommandons d’utiliser le client FTP Voyager pour ses capacités de journalisation. De plus, nous assurons le support de ces deux produits.
Sommaire
Erreur : Only client IP address allowed for PORT command (Seule l’adresse IP du client est autorisée pour la commande PORT) Cette erreur se produit lorsque l’option Block FTP_Bounce attacks (bloquer les attaques « FTP_bounce », visant à usurper l’adresse IP du serveur) est activée et que le client demande au serveur de se connecter à une adresse IP différente lors d’un transfert de données (liste de répertoire ou transfert de fichiers). Comparez l’adresse IP du client que Serv-U affiche lors de la connexion (cela fait partie des messages de connexion du serveur) avec l’adresse IP dans la commande PORT. Le client se connecte probablement à l’adresse IP « extérieure » lors de la connexion, mais lors du transfert il demande au serveur d’utiliser une adresse LAN du type 192.168.*.*. Pour désactiver cette option ouvrez Serv-U Admin, cliquez sur Settings, et décochez-la dans l’onglet General.
Document technique WATSOFT -2005-
Sommaire
Erreur : SSL Certificate is out of date (Certificat SSL expiré) Il peut arriver que Serv-U crée ses propres certificats SSL datés avec une heure d’avance. Par conséquent, la plupart des serveurs déclarent que le certificat n’est pas valide. Ce problème se résout de lui-même dans l’heure qui suit, lorsque l’horodatage du certificat devient valide. En cas d’ « urgence », avancez d’une heure l’horloge de votre système.
Sommaire
Limitations de taille des fichiers La taille des fichiers transférés est illimitée pour les versions 4.1.0.3 de Serv-U et ultérieures, et limitée à 2 Go par fichier pour Serv-U 4.0.0.4 et précédentes.
Sommaire
La date et l’heure des fichiers transférés par un client CuteFTP Pro 7 sont incorrectes L’heure des fichiers transférés de Serv-U vers un client CuteFTP Pro 7 (ou vice-versa) est parfois modifiée et incorrecte. Il semble que pour déterminer la date et l’heure de modification des fichiers transférés, ce client utilise l’heure locale et non l’heure UTC (standard international pour l’heure et les dates). Par conséquent l’horodatage des fichiers est incorrect : il diffère en fonction du décalage entre l’heure UTC et l’heure du client. Pour plus d’informations, veuillez contacter le service technique de CuteFTP Pro.
Sommaire
Configuration du pare-feu Firebox 500 de WatchGuard De nombreux systèmes pare-feu haut de gamme ont la possibilité de limiter certains protocoles. Firefox 500 inclut des options visant à limiter l’accès FTP en lecture seule, qu’il est préférable de désactiver dans la plupart des cas. En effet, Serv-U peut limiter lui-même les variables contrôlées par le pare-feu. Comme pour tout pare-feu, assurez-vous d’abord que sa configuration permet l’accès externe à l’adresse IP interne que Serv-U écoute.
Document technique WATSOFT -2005-
Les propriétés de ce pare-feu doivent être modifiées pour autoriser les fonctions FTP de base. Ainsi, pour autoriser les téléchargements montants, décochez les options « read only » (lecture seule). Même si vous désactivez toutes les options de sécurité FTP du pare-feu, vous ne courez aucun danger car Serv-U possède toutes les options nécessaires.
Document technique WATSOFT -2005-
Sommaire
Le client FTP ne voit pas les listes de répertoires ou n’arrive pas à se connecter Les fournisseurs d’accès Internet empêchent parfois leurs utilisateurs d’utiliser des serveurs FTP en interdisant l’accès au port FTP (21). Ils surveillent le trafic sur ce port, désactivent les listes de répertoires ou les transferts de fichiers, ou bien empêchent l’utilisation de ce port pour toutes les connexions entrantes. Certains utilisateurs savent néanmoins qu’en attribuant à Serv-U un port différent et moins utilisé, ils peuvent autoriser l’accès à leur serveur FTP. La meilleure solution consiste à essayer d’abord des ports supérieurs à 1024 (par ex. : 2121) car ils ne sont généralement pas utilisés par d’autres applications. Il est possible d’utiliser certains ports inférieurs à 1024 mais le risque de conflit avec un autre service est plus important. Nous vous recommandons de tester plusieurs ports afin de trouver le plus adéquat. REMARQUE 1 : Vous devez également modifier le numéro de port dans votre client FTP. Avec FTP Voyager, rendez vous dans les paramètres avancés du profil de votre site, sous la rubrique Connexion. L’utilisation d’un serveur FTP peut aller à l’encontre du contrat passé avec votre fournisseur d’accès. Veuillez donc demander son autorisation avant de modifier les ports. Enfin, il est possible que le mode passif (PASV) ne soit pas configuré correctement et qu’un routeur ou un pare-feu bloque les transferts de données. Si vous utilisez Serv-U derrière un routeur ou un pare-feu veillez à lire l’article consacré à ce sujet. REMARQUE 2 : Si vous testez Serv-U, nous vous recommandons d’utiliser le client FTP Voyager pour ses capacités de journalisation. De plus, nous assurons le support de ces deux produits.
Sommaire
Les clients FTP n’affichent pas les fichiers ou dossiers Si un client FTP connecté à Serv-U n’affiche pas les listes de répertoires, c’est parce qu’il n’utilise pas une connexion adéquate. Il doit passer en connexion passive (PASV) et non active (PORT) pour résoudre le problème. Si cela ne suffit pas à résoudre le problème ou si le client utilisé ne peut pas modifier le type de connexion, demandez à l’utilisateur de télécharger FTP Voyager puis d’essayer de se connecter à Serv-U. En cas d’échec, adressez-nous une copie du fichier journal généré par FTP Voyager. Cela devrait nous permettre d’identifier le problème.
Sommaire
FXP / transferts de serveur à serveur Seules certaines options de Serv-U peuvent empêcher les transferts FXP : - Cliquez sur Local Server, Settings puis sélectionnez l’onglet General afin de vous assurer que l’option Block 'FTP_bounce' attacks* and FXP n’est pas cochée. Vérifiez ensuite que l’option Max. no of users n’est pas limitée à une seule connexion. -Sélectionnez le domaine que vous avez configuré puis Settings. Dans l’onglet General, vérifiez que l’option Max no. of users n’est pas non plus limitée. (La meilleure solution est de ne pas remplir ces options). -Enfin, sélectionnez le compte utilisateur destiné à se connecter et à effectuer les transferts FXP. Dans l’onglet General, vérifiez que l’option Max no. of users n’est pas limitée à 1. Vous pouvez désormais effectuer un transfert d’un serveur à l’autre en utilisant un client compatible avec le protocole FXP. (Par exemple FTP Voyager)
Document technique WATSOFT -2005-
*Bloquer les attaques « FTP_bounce », visant à usurper l’adresse IP du serveur
Sommaire
Options disponibles pour la partie [Global] du fichier ServUDaemon.ini La configuration par défaut de Serv-U se trouve dans le fichier ServUDaemon.ini. Vous trouverez ci-dessous une liste des variables possibles dans la partie [Global] de ce fichier, et des valeurs pouvant être utilisées. Si vous désirez de plus amples explications sur ces options, le fichier d’aide de Serv-U est à votre disposition en cliquant sur F1 depuis Serv-U Administrator ou bien en ligne à l’adresse suivante : http://www.Serv-U.com/help (en anglais). [GLOBAL] Version=5.0.0.4 MaxNrUsers=10 (tout nombre entier positif) CheckAnonPass=0 (0 ou 1. 0 désactive l’option, 1 l’active) LowerCaseFileDir=0 (0 ou 1. 0 désactive l’option, 1 l’active) SpeedLimit=102400|256000 (vitesse maximum pour les téléchargements montants / descendants, en octets) DeletePartialUploads=0 (0 ou 1. 0 désactive l’option, 1 l’active) BlockFTPBounceAttack=0 (0 ou 1. 0 désactive l’option, 1 l’active) BlockAntiTimeOut=0 (0 ou 1. 0 désactive l’option, 1 l’active) DirCacheSize=250 (tout nombre entier positif) DirCacheTime=6000 (tout nombre entier positif, en secondes) OpenFilesUploadMode=Shared (Shared : partagé, Exclusive : exclusif, ou no entry : non spécifié) OpenFilesDownloadMode=Exclusive (Exclusive ou no entry) AntiHammer=0 (0 ou 1. 0 désactive l’option, 1 l’active) SocketInlineOOB=0 (0 ou 1. 0 désactive l’option, 1 l’active) SocketKeepAlive=0 (0 ou 1. 0 désactive l’option, 1 l’active) SocketNoNagle=0 (0 ou 1. 0 désactive l’option, 1 l’active) SocketRcvBuffer=81920 (tout nombre entier positif, en octets) SocketSndBuffer=81920 (tout nombre entier positif, en octets) PacketTimeOut=300 (tout nombre entier positif, en secondes) PASVPortStart=2000 (tout nombre entier positif correspondant à un numéro de port) PASVPortRange =11 (tout nombre compris entre 1 et 50, correspondant au nombre de ports utilisés au-dessus de l’entrée PASVPortStart)
Sommaire
Empêcher les utilisateurs de voir les chemins complets Pour cacher le chemin des répertoires sur votre disque dur ou empêcher les utilisateurs d’y accéder à l’aide de la commande CWD, vous disposez de l’option Lock user in home directory. -Démarrez Serv-U Administrator -Sélectionnez l’utilisateur concerné -Sélectionnez l’onglet Account -Cochez l’option Lock user in home directory Ainsi, l’utilisateur n’aura accès qu’aux informations contenues dans son répertoire d’accueil et aux répertoires qui y figurent.
Sommaire
Installer Serv-U dans un environnement en cluster Serv-U n’est pas conçu pour ce type d’installation. Vous avez cependant la possibilité d’installer Serv-U sur chaque ordinateur du cluster, puis d’exporter les paramètres sur chaque serveur. Il vous suffit pour cela de copier le fichier ServUDaemon.ini depuis un système maître (dans lequel tous les paramètres sont configurés) vers les autres postes. Vous devez répéter l’opération chaque fois que vous modifiez les paramètres pour garantir une bonne synchronisation.
Document technique WATSOFT -2005-
Sommaire
Dans Windows XP SP 2, Internet Explorer est configuré par défaut en mode passif (PASV) Dans Windows XP Service Pack 2, Microsoft a configuré Internet Explorer pour qu’il se connecte par défaut aux sites FTP en mode passif. Si sous XP les clients ne peuvent pas se connecter avec Internet Explorer, assurez-vous que ServU est configuré en mode passif.
Sommaire
Règles d’accès IP Si vous souhaitez restreindre l’accès de votre serveur à certaines adresses IP, cliquez sur l’onglet IP Access. Les adresses et / ou les noms IP des clients sont acceptés ou refusés en fonction des règles ci-dessous. Cet onglet se trouve dans la rubrique Settings du domaine choisi. Créer une règle d’accès Avant d’ajouter une règle, vous devez préciser s’il s’agit d’une règle de refus (Deny) ou d’autorisation (Allow) d’une adresse ou d’un masque. Vous disposez des caractères joker suivants pour définir les adresses IP : -L’ASTERISQUE (*) : sert de caractère joker lors de la vérification de l’adresse. Elle peut être remplacée par n’importe quel caractère. Exemple : Toutes les adresses IP d’une entreprise sont du type 134.56.34.xxx, (« xxx » pouvant être n’importe quels chiffres. Vous pouvez, à l’aide de la règle suivante, autoriser l’accès au serveur uniquement à ses membres : Allow: 134.56.34.* De même, si vous souhaitez interdire l’accès aux adresses du type 168.76.xxx.xxx, la règle est la suivante : Deny: 168.76.*.* Allow: *.*.*.* La règle « Allow: *.*.*.* » sert à autoriser l’accès aux utilisateurs ayant passé la première règle. Elle est indispensable : dès que vous instaurez une règle, les utilisateurs ne peuvent se connecter que si leur adresse correspond à une règle d’autorisation. Il est possible d’appliquer de la même façon des règles pour les noms IP. Vous pouvez par exemple, interdire l’accès aux utilisateurs d’une université spécifique de la façon suivante : Deny: *.univerisitéx.edu Allow: *.*.*.*
- LE TRAIT D’UNION : remplace un intervalle de chiffres. Exemple : Vous souhaitez autoriser l’accès aux adresses suivantes : 134.56.34.128, 134.56.34.129 et 134.56.34.130. Au lieu de créer une règle d’autorisation pour chacune d’entre elles, il suffit d’appliquer la règle suivante : Allow: 134.56.34.128-130 Il n’est pas nécessaire que les caractères "*" et "-" se trouvent à la fin des adresses IP. La règle 221.*.76-154.89 est tout à fait acceptable.
-LE POINT D’INTERROGATION (?) : ne s’utilise que dans les noms IP et ne peut remplacer qu’un seul caractère. Liste des règles
Document technique WATSOFT -2005-
Située sur la droite de l’écran, elle indique la liste et l’ordre des règles d’accès IP. Les boutons Add et Remove (à gauche de la liste) servent respectivement à ajouter et supprimer une règle ; et les boutons Up et Down (en bas) à modifier l’ordre. ATTENTION ! L’ordre des règles est capital. Lorsqu’un client essaie de se connecter au serveur, les règles s’appliquent en commençant par le haut de la liste. Cette évaluation s’arrête dès qu’une règle correspond à l’adresse du client. Par conséquent, si l’ordre n’est pas correct certaines règles ne s’appliqueront jamais. REMARQUE : Les règles concernant le nom IP présentent un inconvénient. Lorsque Serv-U démarre, il ignore si certaines règles nécessitent la vérification des noms IP, et il serait trop fastidieux de vérifier toutes les règles possibles. De plus, il est assez long d’effectuer une recherche inversée du nom IP (Serv-U contient une limitation d’une minute dans le code source), et cela oblige le client à attendre que la vérification soit terminée avant de se connecter. Donc, par défaut, Serv-U ne vérifie pas le nom IP des clients qui se connectent au serveur. Ainsi, s’il y a une règle d’accès concernant le nom IP, l’utilisateur sera rejeté car son nom est inconnu. Cependant, il suffit que ce problème se présente une fois pour que Serv-U procède différemment et vérifie le nom IP de chaque utilisateur qui se connecte.
Sommaire
Problème de connexion SSL entre WS_FTP et Serv-U Avec la version d’évaluation de WS_FTP, le cryptage SSL n’est qu’à 40 bits. Or, Serv-U n’accepte pas ce cryptage dans les connexions sécurisées. Pour effectuer des connexions SSL avec Serv-U, le client doit avoir un cryptage à 128 bits. Nous vous recommandons d’utiliser FTP Voyager, car Serv-U et FTP Voyager ont été testés dans toutes les situations possibles.
Sommaire
Les transferts de fichiers volumineux échouent au bout de XX minutes Ceux d’entre vous qui utilisent l’option « high security web hosting » (hébergement de sites hautement sécurisé) pour leurs sites Web sous IIS risquent de rencontrer des problèmes lors du transfert de fichiers volumineux. Cette option est à l’origine du problème car elle modifie le registre. Le temps mort des connexions TCP est alors limité à une certaine durée au-delà de laquelle celles-ci seront interrompues. Le protocole FTP fonctionne grâce à deux types de connexions : des commandes envoient les instructions au serveur par le biais d’une connexion spécifique, et une connexion différente est établie lors de chaque transfert de données. Au cours d’un transfert de données, la connexion relative aux commandes est généralement inactive ; elle est donc automatiquement interrompue si elle dépasse la limite de temps définie par le registre. Or, l’interruption de cette connexion entraîne également l’arrêt du transfert des données de la session. La clé de registre concernée est : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime La valeur « KeepAliveTime » ne figure pas par défaut, elle est ajoutée par l’option. Si vous désirez toutefois appliquer une limite de temps, assurez-vous qu’elle soit assez longue pour permettre tous les transferts de fichiers (la valeur est en [ms]). Sinon, il suffit qu’un client FTP envoie régulièrement une commande au serveur pendant les transferts de fichiers pour que la connexion relative aux commandes ne soit pas interrompue.
Sommaire
Document technique WATSOFT -2005-
Vulnérabilité sur les serveurs FTP Serv-U permettant l’augmentation des privilèges d’un utilisateur local L’article Local Privilege Escalation Vulnerability in Serv-U FTP server est à l’origine de diverses publications sur des sites relatifs à la sécurité concernant une « faille » de Serv-U. Selon ces articles, le compte par défaut LocalAdministrator autorise un utilisateur local à augmenter ses privilèges sur l’ordinateur cible. Rhinosoft.com est conscient de cette faille, mais un grand nombre de facteurs indiquent qu’il s’agit d’un faux problème. Comme le précise l’article, le compte utilisé pour exploiter cette « faille » est le compte LocalAdministrator. Or, il s’agit du compte par défaut utilisé par Serv-U Administrator, pour lequel un nom d’utilisateur et un mot de passe figurent également par défaut. Par conséquent, ce compte est accessible uniquement depuis l’adresse IP loopback de l’ordinateur (127.0.0.1) : on ne peut l’utiliser qu’en se connectant à Serv-U depuis l’ordinateur sur lequel il est installé. Le compte LocalAdministrator ne fonctionnant qu’avec l’adresse IP loopback, il faut avoir un accès complet à l’ordinateur du serveur pour pouvoir l’utiliser. De plus, le code publié pour la démonstration ne fait qu’imiter le comportement de Serv-U Administrator. Ainsi, puisque cette « démonstration » admet avoir l’accès physique au serveur, il serait plus simple de copier et d’exécuter le fichier ServUAdmin.exe. Le compte LocalAdministrator ne fonctionnant que sur le système local, il est impossible de l’utiliser pour corrompre le logiciel ou l’ordinateur à distance. Par conséquent cette « faille » ne peut être exploitée qu’en ayant un accès local complet. Les anciennes versions de Serv-U permettaient de personnaliser le compte LocalAdministrator. Cependant, les informations devant être conservées localement, cela n’améliorait pas vraiment la sécurité (en particulier si l’on considère qu’il faut accéder physiquement à l’ordinateur du serveur), et ne faisait que déconcerter les administrateurs système. Par conséquent, cette option a été supprimée de Serv-U.
Sommaire
Se connecter à Serv-U depuis un navigateur Un certain type d’URL FTP est nécessaire pour se connecter à Serv-U depuis un navigateur. Cette URL n’est pas spécifique à Serv-U, elle fonctionne avec tous les serveurs FTP et son application dépend uniquement du navigateur. Le format est le suivant : ftp://nomd’utilisateur:motdepasse@site:port -nomd’utilisateur : nom dont l’utilisateur se sert pour la connexion -motdepasse : le mot de passe correspondant au nom d’utilisateur -site : le nom du serveur FTP son adresse IP -port : précisez ici le numéro de port si ce n’est pas le 21
Sommaire
Impossible de connecter les clients sous Macintosh Pour se connecter à Serv-U depuis un Macintosh, nous vous recommandons le logiciel Fetch, sans doute le meilleur client FTP pour Macintosh. Lors de la configuration, assurez-vous que l’option mode passif est activée.
Document technique WATSOFT -2005-
Sommaire
Ajouter manuellement un mot de passe crypté dans le fichier ServUDaemon.ini Lors de la création d’un mot de passe crypté, deux caractères aléatoires compris entre a et z ou A et Z (le « sel ») sont ajoutés au début du message en clair. Ce message est ensuite haché en MD5 et le résultat soumis à un codage hexadécimal. Le résultat est écrit sous forme de message en clair composé des deux caractères aléatoires suivis du message haché et codé de façon hexadécimale. Pour un compte utilisateur dans le fichier .ini, le résultat sera le suivant : Mot de passe = cb644FB1F31184F8D3D169B54B3D46AB1A La chaîne « cb » correspond au « sel », et « 644FB1F31184F8D3D169B54B3D46AB1A » au chiffrage MD5. Serv-U procède de la même façon pour vérifier un mot de passe. Il sépare le « sel » du mot de passe, l’ajoute au mot de passe que l’utilisateur a envoyé par le client, le hache en MD5 et compare le résultat avec les valeurs chiffrées enregistrées. Si les valeurs sont les mêmes, alors le mot de passe est correct. Si vous rencontrez des problèmes pour mettre le fichier .ini à jour sans redémarrer Serv-U, consultez l’article « Mettre à jour manuellement le fichier ServUDaemon.ini »
Sommaire
Mettre à jour manuellement le fichier ServUDaemon.ini Lorsque vous modifiez directement le fichier ServUDaemon.ini, vous devez ajouter le texte suivant après la partie [Global] du fichier : ReloadSettings=True Serv-U vérifie régulièrement si le fichier .ini contient ce message, auquel cas il actualise tous les paramètres de chaque domaine du serveur. Il n’est pas nécessaire de redémarrer Serv-U pour qu’il prenne en compte les modifications.
Document technique WATSOFT -2005-
Après avoir actualisé les paramètres, Serv-U efface l’entrée ReloadSettings=True, afin que vous puissiez la saisir à nouveau. REMARQUE : Cela s’applique quelle que soit la méthode choisie pour enregistrer les paramètres de Serv-U (fichier ini, ODBC ou registre).
Sommaire
Transférer Serv-U sur un autre ordinateur Il est relativement simple de transférer Serv-U d’un ordinateur à un autre ou de sauvegarder les paramètres : -Arrêtez Serv-U sur l’ancien ordinateur -Copiez le répertoire d’installation de l’ancien ordinateur sur le nouveau. (Par défaut : C:\Program Files\Serv-U) -Installez Serv-U sur le nouvel ordinateur dans le répertoire que vous avez copié. -Démarrez Serv-U sur le nouvel ordinateur Il est également possible d’installer Serv-U avant de copier le répertoire d’installation de l’ancien ordinateur.
Sommaire
Gestion des mots de passe uniques (OTP, MD4, MD5) Avec le protocole FTP, les mots de passe sont envoyés en clair, donc un « sniffeur » bien placé suffit à les intercepter. Avec le OTP (one time password), vous n’envoyez jamais votre mot de passe sur le réseau car il est « haché » à l’aide d’un chiffrage unique avant d’être envoyé. Cette procédure est très fiable : il est impossible de retrouver le mot de passe original à partir du message chiffré. De plus, la méthode de chiffrage étant différente à chaque fois, même si quelqu’un l’intercepte elle n’est pas réutilisable (d’où le terme « mot de passe unique »). Serv-U supporte une forme très répandue d’OTP appelée S/Key. S/Key comporte deux variantes : MD4 et MD5, qui possèdent des fonctions de hachage similaires. Cette option se trouve dans l’onglet General de chaque utilisateur. Il faut indiquer de nouveaux mots de passe lorsqu’ils sont enregistrés sous forme chiffrée, car pour utiliser l’option S/Key, ServU doit connaître le mot de passe mais il ne peut pas utiliser celui enregistré sous forme chiffrée dans les paramètres de l’utilisateur. Si vous utilisez S/Key, assurez-vous que le client supporte cette option (ce qui est le cas de FTP Voyager). Sinon, il doit autoriser l’interception de la réponse utilisateur et la saisie manuelle du mot de passe à chaque connexion (la ligne de commande du client le permet). Dans ce cas un programme appelé « WinKey » est nécessaire pour calculer le S/Key (disponible à l’adresse suivante : ftp://ftp.cat-soft.com/add-ons/winkey/)
Sommaire
Préserver l’horodatage d’origine d’un fichier chargé Serv-U supporte la commande MDTM, de sorte que si un client la supporte également, il peut envoyer un fichier sur le serveur sans en modifier la date et l’heure. Pour vérifier que cette option est activée : -Sélectionnez le domaine choisi -Cliquez sur Settings -Cliquez sur l’onglet Advanced. Vous pouvez alors vérifier si cette option est cochée ou pas. Par défaut, elle est activée.
Document technique WATSOFT -2005-
Sommaire
Le fichier journal de Serv-U en détail Vous trouverez ci-dessous la copie d’un fichier journal (connexion et chargement de fichiers), divisée en plusieurs parties commentées. 1] Fri 03Jan03 09:13:20 - Starting FTP Server... [1] Fri 03Jan03 09:13:21 - FTP Server listening on port number 21, IP 127.0.0.1 Serv-U confirme qu’il écoute le port 21 à l’adresse IP 127.0.0.1. Si un message d’erreur se trouve dans cette partie, cela signifie que les clients ne pourront pas se connecter. « Port 21 in Use » (le port 21 est déjà utilisé) ou « Trying to listen on non-existent IP Address » (l’adresse IP écoutée n’existe pas) sont les erreurs les plus fréquemment rencontrées.
Pour faciliter la lecture, les deux premières parties de chaque entrée ont été supprimées, car elles ne font qu’indiquer la date et l’heure.
Connected to 127.0.0.1 (Local address 127.0.0.1) 220 Serv-U FTP Server v4.2 for WinSock ready... Lorsqu’un client FTP se connecte, Serv-U commence par s’identifier, il s’agit de la balise « Server ID ». Pour des raisons de sécurité, certains administrateurs personnalisent cette balise et cachent le nom du serveur. (voir l’article « Personnaliser le message d’accueil »). ATTENTION : Certains clients FTP comme FTP Voyager identifient le serveur par le biais de cette balise.
USER test 331 User name okay, need password. PASS xxxxx User TEST logged in 230 User logged in, proceed. Chaque fois qu’un client FTP se connecte à Serv-U, il doit envoyer un nom d’utilisateur et un mot de passe valides. Le texte ci-dessus fait état de cette procédure d’identification.
FEAT 211-Extension supported MDTM MDTM YYYYMMDDHHMMSS[+-TZ] filename SIZE SITE PSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSG REST STREAM 211 End Les clients ont recours à la commande FEAT pour demander au serveur s’il supporte des commandes spéciales. A la suite se trouve la réponse du serveur et la liste des commandes supportées.
REST 100 350 Restarting at 100. Send STORE or RETRIEVE. REST 0 350 Restarting at 0. Send STORE or RETRIEVE. PWD 257 "/c:" is current directory. CWD /c: 250 Directory changed to /c: Le client FTP accède au répertoire d’accueil qui lui est attribué (dans ce cas : C:\)
Document technique WATSOFT -2005-
TYPE A 200 Type set to A. PASV 227 Entering Passive Mode (127,0,0,1,4,122) Une connexion de transfert de données est nécessaire afin de permettre au client de visualiser le contenu du répertoire d’accueil. Elle peut être effectuée aussi bien en mode actif (PORT) que passif (PASV).
LIST -T 150 Opening ASCII mode data connection for /bin/ls. 226 Transfer complete. Le message « 226 Transfer complete » indique que la connexion de transfert de données a été établie avec succès : le client voit à présent les fichiers présents dans son répertoire d’accueil.
STOR DCP00618.JPG Le client a commencé le chargement d’un fichier. STOR correspond au nom de la commande et DCP00618.JPG à celui du fichier.
Receiving file c:\dcp00618.jpg Le serveur confirme que la réception est en cours.
150 Opening BINARY mode data connection for DCP00618.JPG. Received file c:\dcp00618.jpg successfully (6026 Kb/sec - 234469 bytes) 226 Transfer complete. Le serveur confirme que le transfert est terminé.
MDTM 20021206160948 /c:/DCP00618.JPG 253 Date/time changed okay. La commande MDTM est une des options supportées par Serv-U (elle figure d’ailleurs dans la réponse à la commande FEAT). Elle permet de conserver l’horodatage d’un fichier envoyé sur le serveur. En effet, un nouvel horodatage est généralement attribué aux fichiers reçus.
QUIT 221 Goodbye! Closing connection for user TEST (00:00:01 connected) L’utilisateur s’est déconnecté du serveur.
Sommaire
Reprendre un téléchargement interrompu Il est possible de reprendre les téléchargements (montants ou ascendants) si le transfert vient à être interrompu. Par exemple, si au cours du transfert d’un fichier de 10 Mo la connexion est interrompue après 7 Mo, il suffit de redémarrer Serv-U pour terminer le transfert (à condition que le client supporte cette fonctionnalité). En cas de problème, assurez vous que : -L’option Delete partially uploaded files est décochée (dans Local Server, Settings, General) -Les rubriques Append et Delete sont cochées (dans Domains, User, Dir Access)
Document technique WATSOFT -2005-
Sommaire
Exécuter Serv-U 2.5n (ou version précédente) en tant que service système Vous trouverez à l’adresse suivante un utilitaire (en anglais) permettant d’exécuter Serv-U en tant que service système sous Windows NT/2000/XP : www.firedaemon.com. Son interface utilisateur vous aidera à effectuer cette opération pas à pas.
Sommaire
Taille de la mémoire tampon pour l’envoi / la réception de fichiers Avec Serv-U, vous pouvez configurer manuellement la taille de la mémoire tampon (dans Local Server, Settings, Advanced, Send buffer / Receive buffer) et améliorer ainsi les performances des transferts de fichiers. En raison de la diversité du matériel et des connexions Internet disponibles, il n’y a pas de « taille idéale ». De plus, la taille de la mémoire tampon doit également être ajustée en fonction de la vitesse de connexion du client. En règle générale, les valeurs élevées sont plus adaptées aux connexions rapides avec un temps d’attente faible, et vice versa. Cependant, ce n’est qu’en procédant par tâtonnements que vous trouverez la configuration optimale pour votre réseau. Après avoir atteint la vitesse de transfert la plus rapide possible, il est conseillé de réajuster ces valeurs. Elles sont habituellement comprises entre 8 et 32 Ko. Un faible taux de transfert peut être dû à un mauvais paramétrage. La valeur indiquée pour Send buffer (mémoire tampon pour l’envoi) et Receive buffer (mémoire tampon pour la réception) ne doit en aucun cas dépasser 65 535.
Sommaire
Modules additionnels pour Serv-U Nombreux sont les particuliers ou les entreprises qui ont, petit à petit, crée leurs propres modules pour Serv-U. Serv-U est un logiciel que l’on peut facilement personnaliser, et un grand nombre de développeurs en profitent pour y ajouter leur touche personnelle. Vous trouverez sur le site de l’éditeur (en anglais) quasiment tout ce dont vous avez besoin pour créer un module pour Serv-U (http://www.Serv-U.com/addons.asp).
Document technique WATSOFT -2005-
Sommaire
Serv-U Bêta Si vous souhaitez tester les dernières versions de Serv-U, vous avez la possibilité de vous inscrire auprès de l’éditeur à une liste de diffusion spécifique (en anglais). Un message y est transmis dès qu’une nouvelle version bêta est disponible. Il s’agit là des seuls messages envoyés, donc cela n’encombrera pas votre boîte à lettres. Le test des versions bêta permet de détecter les bugs avant la sortie de la version définitive et d’obtenir un programme plus stable. Pour vous inscrire à cette liste envoyez un message à :
[email protected] contenant le texte suivant : subscribe beta Après quelques instants vous recevrez un message de confirmation du responsable de la liste.
Sommaire
Vulnérabilité aux attaques par déni de service Les versions 5.2.0.0 de Serv-U et précédentes sont vulnérables aux attaques par déni de service à l’aide de certains mots clés MS-DOS. Cette faille a été corrigée à partir de la version 5.2.0.1. Les commandes responsables du plantage sont :
• • • •
STOU COM1 STOU LPT1 STOU PRN STOU AUX
Un patch temporaire appelé ServUExploitStopper 1.0.1 est disponible sur le site FTP Server Tools. Il n’est pas officiellement supporté par l’éditeur, mais il protègera les utilisateurs qui ne peuvent pas passer à la version 5.2.0.1.
Sommaire
Le port 21 est occupé Deux solutions s’offrent à vous si une autre application que Serv-U utilise le Port 21 : - Trouvez de quelle application il s’agit et arrêtez-la. Si votre système d’exploitation est basé sur Windows NT, vérifiez si vous possédez IIS, car ce serveur inclut un « service de publication FTP » activé par défaut qui utilise le port 21. - Vous pouvez également attribuer un autre port à Serv-U. Si vous paramétrez Serv-U pour qu’il écoute le Port 27, vous n’aurez plus à vous préoccuper des applications occupant le Port 21. L’inconvénient de cette méthode est que vous devrez alors en informer les clients pour qu’ils puissent se connecter.
Sommaire
Document technique WATSOFT -2005-
Serv-U n’écoute que l’adresse IP interne Si Serv-U se trouve derrière un routeur ou un serveur proxy il voit probablement les adresses IP sous la forme 192.168.*.* ou 10.0.*.*. Il s’agit d’adresses IP internes, que seuls les ordinateurs de votre réseau peuvent utiliser. Afin d’autoriser l’accès aux autres utilisateurs, vous devez ouvrir certains ports de votre pare-feu, serveur proxy ou routeur : - Configurez le pare-feu, serveur proxy ou routeur pour qu’il transfère les ports 20 et 21 vers l’adresse IP interne que Serv-U écoute, afin que le trafic FTP soit acheminé sur Serv-U. - Dans Serv-U, configurez l’adresse IP en mode passif afin de mettre en évidence l’adresse IP réelle et non l’adresse IP interne visualisée par Serv-U : -Dans votre domaine, sélectionnez Settings. -Sélectionnez l’onglet Advanced. -Saisissez l’adresse IP externe de votre connexion à Internet. Si Serv-U utilise une adresse IP dynamique, ne remplissez pas ce champ. - Vous devez également configurer l’option d’intervalle de ports en mode passif : -Dans Local Server, cliquez sur Settings puis Advanced. -Ouvrez les ports 2000 à 2010 -Ouvrez le même intervalle dans votre pare-feu, serveur proxy ou routeur.
REMARQUE : Si vous testez Serv-U, nous vous recommandons d’utiliser le client FTP Voyager pour ses capacités de journalisation. De plus, nous assurons le support de ces deux produits.
Sommaire
Administrer Serv-U à distance 1. Installez la version 5.0 Corporate de Serv-U (ou Serv-U Pro pour les versions 4.x) sur l’ordinateur serveur (à l’aide du fichier susetup.exe que vous avez téléchargé). 2. Créez un compte administrateur ayant suffisamment de privilèges pour accéder au serveur à distance.
3. Installez Serv-U Admin sur l’ordinateur distant (à l’aide du même fichier).
Document technique WATSOFT -2005-
4. Configurez un nouveau serveur (clic droit sur « Serv-U Servers » et « New Server »)
5. Le logiciel se connecte alors au Daemon* de Serv-U, vous permettant ainsi d’administrer le serveur à distance. *De l’anglais Disk And Execution MONitor, programme réalisant des tâches de fond du système
Sommaire
Message d’erreur : l’adresse écoutée n’existe pas Cela signifie que l’adresse IP que vous avez indiquée lors de la configuration du domaine ne correspond pas à l’ordinateur sur lequel Serv-U est installé. La meilleure solution consiste à supprimer l’adresse IP que vous aviez saisie pour ce domaine et laisser le champ vide, car Serv-U écoute alors toutes les adresses disponibles (Any IP address available).
Sommaire
Document technique WATSOFT -2005-
Icône de la zone de notification Cette icône indique l’état du serveur. Pour l’afficher, cliquez sur View et cochez l’option Tray Icon.
L’icône change de couleur en fonction de l’état du serveur : 1.
Vert : Serv-U est actif mais personne n’est connecté au serveur.
2.
Vert cerclé de rouge : le serveur est arrêté.
3.
Bleu : Serv-U est actif et au moins un utilisateur est connecté, mais aucun transfert n’est en cours.
4.
Violet : Serv-U est actif, des utilisateurs sont connectés et il y a au moins un transfert en cours.
Sommaire
Serv-U a été installé par un hacker ou un virus Les hackers, virus ou chevaux de Troie exploitent parfois Serv-U pour commettre des méfaits. Nous recommandons généralement aux propriétaires d’ordinateurs infectés de formater leur disque dur. Ce type d’attaque utilise des serveurs FTP comme Serv-U (l’icône apparaît parfois dans la zone de notification) mais nous ignorons quels sont les dommages pouvant être causés. Vous pouvez également demander l’aide d’un professionnel ou même essayer un antivirus. Pour désinstaller Serv-U, recherchez les fichiers contenant le texte « Serv-U » ou des fichiers du type « ServU*.* » (ne mettez pas les guillemets) en cliquant sur Démarrer Ö Rechercher Ö Tous les fichiers et tous les dossiers. Supprimez ensuite les fichiers trouvés. Vous trouverez à l’adresse suivante un article (en anglais) expliquant comment un virus et / ou un hacker ont pu installer Serv-U sur votre ordinateur, des conseils ainsi que des liens utiles : http://www.Serv-U.com/suvirushack.asp
Sommaire
Document technique WATSOFT -2005-
Limiter l’espace disque attribué aux utilisateurs Avec Serv-U, vous pouvez choisir l’espace disque maximum (quotas) dont dispose chaque utilisateur : -Démarrez Serv-U Admin -Connectez le serveur -Cliquez sur Domain, Users et le compte choisi -Cliquez sur l’onglet Quota -Cochez l’option Enable disk quota -Indiquez l’espace maximum que vous souhaitez attribuer à cet utilisateur
Sommaire
Configurer plusieurs domaines dans Serv-U Corporate ou Professional Avec Serv-U Corporate ou Professional vous avez la possibilité de configurer plusieurs domaines. Cela apporte une meilleure fonctionnalité aux systèmes ayant plusieurs adresses IP. Pour ajouter un domaine, il suffit d’effectuer un clic droit sur Domains puis New Domain. Si vous ne disposez que seule d’une adresse IP, vous devez attribuer un port différent à chaque domaine. En règle générale, il n’est pas nécessaire de créer plusieurs domaines si vous n’avez qu’une adresse IP : il suffit d’attribuer un répertoire d’accueil différent à chaque utilisateur. Pour le client, cela aura l’apparence d’un serveur complet.
Sommaire
Configurer Serv-U pour autoriser les connexions sécurisées La procédure est assez simple : - Dans Serv-U Admin, Local Server, cliquez sur Settings - Cliquez sur l’onglet SSL Certificate. Si cet onglet n’apparaît pas, assurez-vous que vous possédez bien Serv-U Secure ou Serv-U Professional - Personnalisez les champs - Sélectionnez votre domaine - Dans le menu déroulant Security, choisissez le type de connexion : only SSL (connexion SSL uniquement), SSL and regular (connexion SSL et normale), only regular (normale uniquement) Pour les connexions SSL, nous vous recommandons le client FTP Voyager, car Serv-U et FTP Voyager utilisent les mêmes bibliothèques et ont été testés ensemble. REMARQUE : Si votre client ne fonctionne qu’avec une connexion normale, vérifiez si un dispositif NAT ne se trouve pas entre le client et Serv-U. La traduction NAT ne comprend pas les messages cryptés, ce qui perturbe la connexion. Pour éviter ce problème, vous pouvez soit désactiver le dispositif NAT, soit le déplacer pour qu’il ne se trouve plus entre ServU et le client.
Sommaire
Configurer la journalisation Par défaut, la journalisation est désactivée. Pour l’activer, cliquez sur l’onglet Logging dans Domains, Settings.
Document technique WATSOFT -2005-
Cochez les options Log FTP Commands et Log FTP Replies, puis Enable logging to file et indiquez l’endroit où vous souhaitez enregistrer le fichier journal. Vous disposez de différentes variables pour modifier le nom du fichier une fois par jour, par mois ou par an. Si vous choisissez un nom statique, Serv-U peut tout de même le modifier automatiquement à l’aide de l’option Automatically rotate log file.
Sommaire
Installation silencieuse Serv-U supporte l’installation silencieuse. Les options de ligne de commande pour le programme d’installation sont les suivantes : ServUSetup.exe /S /M=filename /S = déclenche l’installation silencieuse /M=filename = indique un fichier texte contenant les paramètres d’installation Le fichier contenant les paramètres d’installation peut comporter les lignes suivantes : MAINDIR=installation path Chemin complet du répertoire où Serv-U sera installé GROUP=group name Nom du groupe de programme tel qu’il apparaît dans le menu démarrer. Par défaut : Démarrer / Programmes / Serv-U FTP Server COMPONENTS=A|B|C|D Indique les composants devant être installés. A installe le Daemon* et les programmes de l’icône de la zone de notification, B installe Serv-U Administrator, C la documentation (fichiers README et informations concernant la version de Serv-U), et D les documents d’aide en ligne. STARTADMIN=A|B A = Serv-U Administrator est démarré après l’installation. B = Un raccourci vers Serv-U Administrator est ajouté sur le bureau. STARTTRAY=0|1 0 = l’icône de la zone de notification n’apparaît pas après l’installation, 1 = l’icône apparaît.
Document technique WATSOFT -2005-
*De l’anglais Disk And Execution MONitor, programme réalisant des tâches de fond du système
Sommaire
Exécuter un fichier Batch à l’aide de la commande exec de Serv-U Il est possible de configurer Serv-U pour qu’il autorise les clients FTP à démarrer des programmes, ce qui requiert parfois l’exécution d’un fichier Batch. Pour cela, utilisez la commande CMD.EXE (Windows NT / 2000 / XP) ou COMMAND.COM (9x / Me) suivie d’un espace et du chemin du fichier que vous souhaitez exécuter. Par exemple : site exec CMD.exe "C:\Temp\SomeBatchFile.bat" REMARQUE : Autoriser les clients à exécuter des programmes par le biais de Serv-U peut s’avérer très dangereux. Veillez donc à utiliser cette option avec précaution.
Sommaire
Trend Micro (Antivirus) identifie Serv-U comme un cheval de Troie ou un virus Les logiciels antivirus Trend Micro ont identifié des versions légitimes de Serv-U comme des chevaux de Troie. Il s’agit évidemment d’un faux positif. La plupart des utilisateurs concernés ont tout simplement réinstallé Serv-U et contacté Trend Micro pour signaler ce faux positif.
Sommaire
Impossible de se connecter à 127.0.0.1 Lors du démarrage, Serv-U Admin commence par essayer de se connecter à Serv-U Daemon afin de permettre toute modification de la configuration. Si un message d’avertissement s’affiche indiquant que Serv-U Admin ne peut pas se connecter à Serv-U Daemon, cela signifie que la connexion loopback est bloquée. Ce type d’erreur est généralement provoqué par un pare-feu, un antivirus, ou l’utilisation de permissions sous Windows NT. Essayez de désactiver votre pare-feu ou votre antivirus et de redémarrer Serv-U. Sous Windows XP / 2000 / NT, si cela ne suffit pas à résoudre le problème : -indiquez un nom d’utilisateur et mot de passe Administrateur pour le service système de Serv-U, -arrêtez et redémarrez le système. Cela élimine les problèmes relatifs aux restrictions et permissions.
Sommaire
Installer une nouvelle version de Serv-U La procédure est assez simple : -
Sauvegardez l’ancien répertoire d’installation de Serv-U Téléchargez la nouvelle version dans un répertoire temporaire Lancez le programme d’installation Installez Serv-U « par-dessus » l’ancienne version Vous serez averti si le nouveau programme d’installation nécessite la conversion de la base de données utilisateur
Serv-U est à présent installé et vos paramètres ont été conservés.
Document technique WATSOFT -2005-
Sommaire
Restrictions concernant le nom d’utilisateur Le nombre de caractères possibles dans le champ User name (nom d’utilisateur) est limité à 39. Un nom d’utilisateur composé de 40 caractères ou plus est rejeté par Serv-U, et de ce fait la connexion échoue.
Sommaire
Chiffrage MD4 et MD5 pour l’administration à distance Le support des chiffrages MD4 et MD5 n’a pas été ajouté dans Serv-U Administrator car il communique avec Serv-U Daemon à l’aide de connexions SSL. Cela ne pose aucun problème, sauf si vous vous servez pour l’administration à distance d’un compte configuré pour utiliser des connexions MD4 ou MD5. Dans ce cas, nous vous recommandons de créer un compte spécifique pour l’administration à distance qui n’utilise pas ce chiffrage.
Sommaire
Utiliser Serv-U avec Microsoft ISA 2004 Server Par défaut, Microsoft ISA Server 2004 bloque l’accès FTP, et lorsqu’un serveur FTP se trouve sur le même ordinateur, ses lecteurs ne sont accessibles qu’en lecture seule. Il est donc nécessaire de le paramétrer afin de permettre aux clients d’accéder à Serv-U. Procédure à suivre (extrait de la base de connaissances Microsoft) : Création d’une règle de publication de serveur : 1. 2. 3. 4. 5. 6. 7. 8.
Démarrez Gestion ISA Server Développez le nom de l’ordinateur où se trouve ISA Server Cliquez sur Stratégie de pare-feu, sur l’onglet Tâches, puis sur Créer une nouvelle règle de publication de serveur Indiquez un nom (suffisamment évocateur) pour la nouvelle règle, puis cliquez sur Suivant Indiquez l’adresse IP de l’interface interne de l’ordinateur ISA Server, puis cliquez sur Suivant Dans le menu déroulant Protocole Sélectionné, choisissez Serveur FTP, puis cliquez sur Suivant Dans la liste Ecouter les demandes émanant de ces réseaux, cochez Externe, puis cliquez sur Suivant et Terminer Cliquez sur Appliquer pour mettre à jour la stratégie de pare-feu puis sur OK.
Configuration du filtrage FTP : 1. 2. 3. 4.
Dans Gestion ISA Server, effectuez un clic droit sur la règle que vous venez de créer puis cliquez sur Propriétés Cliquez sur l’onglet Trafic, sur Filtrage, puis sur Configuration FTP Si vous souhaitez autoriser les téléchargements montants sur votre site FTP, décochez l’option Lecture seule puis cliquez deux fois sur OK Cliquez sur Appliquer pour mettre à jour la stratégie de pare-feu puis sur OK
Sommaire
Imposer des permissions aux utilisateurs de Serv-U sous Windows 2003 Serv-U n’intègre pas directement l’autorité NT ou les connexions Active directory. Vous pouvez toutefois utiliser les restrictions intégrées dans Windows 2003 pour limiter l’accès à Serv-U. Création d’un compte Serv-U :
Document technique WATSOFT -2005-
1. 2. 3. 4. 5.
Cliquez sur Démarrer, Outils d’administration, Gestion de l’ordinateur, effectuez un clic droit sur Utilisateurs et groupes et sélectionnez Nouvel utilisateur Créez un nouveau compte appelé par exemple ServUFTP sur le système Choisissez un mot de passe assez long (> 16 caractères) et compliqué. Saisissez-le dans le bloc notes pour pouvoir le copier / coller facilement mais n’enregistrez pas le fichier Cochez les cases : L’utilisateur ne peut pas changer de mot de passe et le mot de passe n’expire jamais Assurez-vous que cet utilisateur n’appartient à aucun groupe
Configuration du service pour qu’il utilise ce compte : 1. 2. 3. 4. 5. 6. 7.
Cliquez sur Démarrer, Outils d’administration, Services Effectuez un clic droit sur Serv-U FTP Server, puis sélectionnez Propriétés Cliquez sur l’onglet Connexion Sélectionnez Ce compte Indiquez le nom d’utilisateur (par ex. ServUFTP) Copiez et collez le mot de passe dans les deux champs correspondants Cliquez sur Appliquer, puis sur OK
Application de permissions sur les fichiers pour permettre à Serv-U de fonctionner 1. 2. 3. 4. 5.
Dans l’explorateur Windows, identifiez le répertoire dans lequel Serv-U est installé (par défaut : C:\Program Files\Serv-U) Effectuez un clic droit sur le dossier puis cliquez sur Propriétés Cliquez sur Sécurité Ajoutez l’utilisateur que vous venez de créer puis autorisez Modifier les permissions Cliquez sur OK
Application des permissions sur les fichiers FTP pour que Serv-U puisse y accéder 1. 2. 3. 4. 5.
Effectuez un clic droit sur le répertoire contenant tous les fichiers FTP (par ex. : D:\sitesweb ou c:\inetpub\wwwroot Cliquez sur Propriétés Cliquez sur Sécurité et ajoutez le compte utilisateur de Serv-U (par ex. : ServUFTP) Autorisez les Modifications des permissions Cliquez sur OK
Redémarrez ensuite le service Serv-U afin que les modifications soient prises en compte. En cas d’erreur du type « le répertoire d’accueil n’existe pas » lors de la connexion avec un compte à la racine du répertoire ci-dessus : 1. 2. 3. 4. 5. 6. 7. 8.
Effectuez un clic droit sur le répertoire situé au-dessus du répertoire FTP mentionné ci-dessus Cliquez sur Propriétés, puis Sécurité Ajoutez le compte que vous avez crée (par ex. : ServUFTP) et autorisez les Modifications des permissions Cliquez ensuite sur Paramètres avancés Dans la liste des permissions cliquez sur la ligne de ServUFTP Dans le menu déroulant Appliquer à indiquez Ce dossier seulement Cliquez sur OK Redémarrez le service Serv-U FTP
En cas de problème, suivez les instructions indiquées dans le paragraphe « Configurez le service pour qu’il utilise ce compte » en choisissant le compte LocalSystem, puis cliquez sur OK et redémarrez le service Serv-U FTP. Cela aura pour effet de restaurer les permissions par défaut.
Sommaire
Document technique WATSOFT -2005-
