Задача:
Имеется общая папка на сервере компании. К ней разграничен доступ пользователей правами NTFS. Пользователи локальной сети имеют доступ к подпапкам этой папки - туда, куда им прописан доступ.
Однако, есть группа внешних корпоративных пользователей - тех, которые хотели бы получить доступ к этой папке со своими правами из сети Internet. А так же нужно предоставить пользователям ЛВС возможность подключаться к этой папке извне (из Internet) на случай, например, работы из дома или с мобильных устройств.
Решение:
Конечно, можно воспользоваться, например FTP, но, как показывает практика, для пользователей это сложновато.
Можно использовать VPN. Но, в этом случае, внешний пользователи получат доступ не только к заданной папке, но и к прочим ресурсам ЛВС.
Поэтому воспользуемся самым «красивым» способом решения этой задачи - технологией WebDAV. Эта технология позволяет предоставлять доступ пользователям к заданным папкам как из ЛВС, так и из Internet по протоколам http и https, разграничивая права, соответственно прописанным в папках NTFS разрешениям.
При использовании WebDAV на клиентских компьютерах с ОС MS Windows не требуется никакого дополнительного программного обеспечения. Служба «Веб клиент» уже встроена в саму операционную систему, начиная с Windows 2000. Пользователь же будет видеть ресурсы, подключенные через WebDAV прямо из проводника Windows.
Итак, приступим к настройке сервера WebDAV на MS Windows 2003 Server Standart Edition с установленным Internet Information Services 6 (IIS6) и включенным расширением WebDAV:
-
Во-первых, конечно, убеждаемся что у нас установлены и запущены службы IIS6 (в частности, служба Веб-публикации). А так же в том, что расширения WebDAV включены. Все это можно сделать из оснастки Администрирования IIS (Диспетчер служб IIS):
-
В проводнике создаем папку (если ее еще нет), к которой будем предоставлять общий доступ и назначаем права NTFS для пользователей и групп. Папка может располагаться как на этом сервере, так и быть любым общим ресурсом в ЛВС. В примере назовем папку «Exchange». Пусть она располагается по пути \\Server\Exchange
-
В диспетчере служб IIS открываем свой веб-узел - тот, через который будем предоставлять WebDAV доступ. Для примера пусть это будет веб-узел с именем «my.server.ru». Если веб-узла еще нет, то его нужно создать.
-
На этом веб-узле создаем виртуальный каталог:
-
Дадим ему имя такое же, как и имя общей папки «Exchange» - просто чтобы не было путаницы. Вообще ему можно присвоить любое имя. Это имя и будет частью url-адреса нашего WebDAV ресурса. В нашем примере: http://my.server.ru/Exchange
-
Указываем путь до нашей папки «Exchange». Это означает что виртуальный каталог http://my.server.ru/Exchange будет сопоставлен папке \\Server\Exchange
-
Устанавливаем глобальные права доступа на виртуальный каталог: чтение, запись, обзор:
Это глобальные права для всех пользователей, который будут подключаться через WebDAV. То есть мы в принципе разрешаем чтение, запись и обзор при подключении через WebDAV. Если здесь не дать права на запись, то ни один пользователь, подключающийся к папке посредством WebDAV не сможет ничего в нее записать, несмотря на то, что NTFS права позволяют ему это сделать. То же самое с чтением и обзором. Поэтому здесь предоставляем глобальные права на чтение, запись и обзор, а права для конкретных пользователей и групп уже будут определяться NTFS.
-
-
Настраиваем наш глобальный каталог:
-
Открываем свойства глобального каталога «Exchange»
-
На вкладке «Безопасность каталога» в разделе «Управление доступом и проверка подлинности» нажимаем кнопку «Изменить»
-
В открывшемся окне «Методы проверки подлинности» отключаем анонимный доступ. В разделе «Доступ с проверкой подлинности» снимаем галочку «Встроенная проверка подлинности Windows» (так как мы не будем пользоваться встроенной проверка подлинности веб-обозревателей) и ставим - «Краткая проверка для серверов доменов Windows». Этот метод поддерживается только для учетных записей Active Directory, при этом по сети передается не пароль открытым текстом, а хешированное значение.
-
Сохраняем изменения и снова оказываемся на вкладке «Безопасность каталога»
-
Если для сайта еще не установлен сертификат, то устанавливаем его, нажимая на кнопку «Сертификат» в разделе «Безопасные подключения». Далее выполняем все шаги мастера получения сертификата.
-
Сохраняем изменения и снова оказываемся на вкладке «Безопасность каталога»
-
Теперь настроим обязательное требование безопасного канала (SSL). В разделе «Безопасные подключения» нажимаем кнопку «Изменить» и в открывшемся окне «Безопасные подключения» ставим галочку «Требуется безопасный канал (SSL)». В разделе «Сертификаты клиентов» устанавливаем переключатель в положение «игнорировать сертификаты клиентов» если мы не планируем использовать сертификаты клиентов либо - в положение «принимать сертификаты клиентов», если планируем использовать сертификаты клиентов когда-нибудь в будущем, либо - в положение «требовать сертификаты клиентов» если уже пользуемся клиентскими сертификатами. Самое нейтральное положение - «принимать сертификаты клиентов» - при этом, если сертификаты клиента есть - они будут приниматься, а если нет, - то нет.
-
-
Если этот сервер подключается к Internet через роутер/NAT, то нам понадобится сделать проброс http и https портов, которые используются веб-узлом my.server.ru.В нашем случае это нестандартные порты 88 и 587 (вместо стандартных 80 и 443 соответственно).
Проброс портов индивидуален для каждого роутера и не представляет сложности. Во вне можно транслировать как порты, на которых крутится веб-узел (88->88 и 587->587), так и ретранслировать их на другие, альтернативные порты (например, 88->98 и 587->687). При этом следует помнить, что когда мы подключаемся к WebDAV ресурсу из ЛВС, то нужно подключаться по внутренним портам, а когда подключаемся из Internet, - то к внешним.
Например, если мы ретранслировали на NAT порты (88->98 и 587->687), то из лвс подключаемся к http://my.server.ru:88/Exchange или к https://my.server.ru:587/Exchange, а из Internet ,будем подключаться к http://my.server.ru:98/Exchange или к https://my.server.ru:687/Exchange.
Здесь еще нужно помнить, что при подключении из ЛВС доменное имя my.server.ru должно преобразовываться в ip-адрес из локальной сети (например, 192.168.1.1), а при подключении из Internet имя my.server.ru должно преобразоваться в нормальный «белый» (маршрутизируемый) ip-адрес. Этого можно добиться, используя локальные DNS серверы для клиентов ЛВС. Либо можно подключаться, используя не имена хостов, а их ip-адреса (http://192.168.1.1:88/Exchange).
Теперь настроим клиентские компьютеры.
-
Для всех ОС - проверяем, чтобы служба «Веб-клиент» была включена и запущена
-
Для Windows XP и ниже:
-
Открываем «Сетевые подключения»
-
Выбираем «Новое место в сетевом окружении»
(Либо то же самое делаем через «Подключение сетевого диска» -> «Подписаться на хранилище в Интернете или подключиться к сетевому серверу»)
-
Указываем соответствующий путь в формате для http: http://server_address:port/folder, для https: https://server_address:port/folder
В нашем примере для ЛВС - https://192.168.1.1:587/Exchange, для Internet - https://my.server.ru:687/Exchange
-
Вводим имя пользователя и пароль, от имени которого будем открывать NTFS ресурсы общий папки WebDAV. Имя пользователя нужно вводить не указывая домен, так как он уже указан на сервере в настройках безопасности WebDAV каталога, в методах проверки подлинности, в доступе с проверкой подлинности указана область «domain.local»
-
Получаем новый ресурс в папке «Сетевые подключения»
-
Вытаскиваем ярлык для этого ресурса или его подпапок, например, на рабочий стол
-
Пользуемся ресурсом WebDAV как обычной папкой в проводнике
-
-
Для Windows Vista и выше:
-
Подключаем ресурс WebDAV
Вариант 1:
Прямо в проводнике набираем адрес в формате:
Код: Выделить всё
\\<имя_компьютера>@<порт>\<путь>\DavWWWRoot
То есть, для http по стандартному порту это будет: \\<имя_компьютера>@80\<путь>\DavWWWRoot, а для https по стандартному порту это будет: \\<имя_компьютера>@ssl\<путь>\DavWWWRoot
Для http по нестандартному порту это будет: \\<имя_компьютера>@port\DavWWWRoot, для https по нестандартному порту: \\<имя_компьютера>@ssl:port\<путь>\DavWWWRoot или так: \\<имя_компьютера>@ssl@port\<путь>\DavWWWRoot
В нашем примере (поскольку мы разрешили только SSL подключения) для ЛВС: \\192.168.0.1@ssl:587\Exchange, для Internet: \\my.server.ru@ssl:687\Exchange
Вариант 2:
Подключаем сетевой диск, указывая адрес в формате (как описано выше)
Код: Выделить всё
\\<имя_компьютера>@<порт>\<путь>\DavWWWRoot
либо в формате (как описано в подключении для Windows XP)
Код: Выделить всё
http://server_address:port/folder https://server_address:port/folder
Вариант 3:
Добавляем сетевое расположение через «Подключение сетевого диска» -> «Подключение к веб-сайту, на котором вы можете хранить документы и изображения»), указывая адрес в формате (как описано выше)
Код: Выделить всё
\\<имя_компьютера>@<порт>\<путь>\DavWWWRoot
либо в формате (как описано в подключении для Windows XP)
Код: Выделить всё
http://server_address:port/folder https://server_address:port/folder
-
Вводим имя пользователя и пароль, от имени которого будем открывать NTFS ресурсы общий папки WebDAV. Имя пользователя нужно вводить не указывая домен, так как он уже указан на сервере в настройках безопасности WebDAV каталога, в методах проверки подлинности, в доступе с проверкой подлинности указана область «domain.local»
-
Вытаскиваем ярлык для этого ресурса или его подпапок, например, на рабочий стол
-
Пользуемся ресурсом WebDAV как обычной папкой в проводнике
-
Примечание: Просто для просмотра файлов и папок на ресурсе WebDAV можно пользоваться веб-обозревателем, введя в адресной строке url своего ресурса, например https://my.server.ru:587/Exchange
Для опытных пользователей, у которых уже есть свой веб-узел c http и https, доступный как из ЛВС, так и из Internet, и у которых уже есть общая рабочая папка, вся эта длительная процедура сводится к следующим шагам:
-
Создаем виртуальный каталог, указывая путь на общую папку
-
Отключаем анонимный доступ к этому каталогу
-
Включаем обязательное требование безопасного канала (SSL)
-
Настраиваем клиентов для подключения по https
Статья по теме: Неочевидные аспекты использования WebDAV в Windows