Der NetWare FTP-Server Version 5.1

Seit IntranetWare 4.11 gehört zu allen NetWare-Versionen ein FTP-Dienst, dessen Umfang sich nicht wesentlich geändert hat. Installation, Konfiguration und Wartung unterscheiden sich in den einzelnen Versionen jedoch erheblich. _ An vielen Schulen sind in den Novell-Netzen in der Zwischenzeit NetWare 5.1 _ Server im Einsatz. Grundlage der folgenden Beschreibungen ist deshalb der FTP-Dienst von NetWare 5.1 mit installiertem SupportPack4.

Beim Aufsetzen des Kommunikationsservers einer Schule sollte der FTP-Server grundsätzlich mitinstalliert werden, auch wenn er zunächst noch nicht eingesetzt werden soll. Eine spätere Nachinstallation von der Operating System _ CD ist grundsätzlich möglich, erfordert aber das Neueinspielen eines schon vorhandenen SupportPacks, da diese immer auch Updates des FTP-Servers enthalten.

Das Nachinstallieren einer Serveranwendung erfolgt bei NetWare 5.1 über die grafische Benutzeroberfläche an der Serverkonsole. Sie wird über STARTX aufgerufen. _ Hier werden unter Installieren zunächst ebenfalls alle gegenwärtig installierten Produkte aufgelistet. Die Schaltfläche Hinzufügen erlaubt es, auf die PRODUCT.NI der im Server-CD-ROM-Laufwerk liegenden Operating System _ CD zuzugreifen. Ein Installationsassistent führt durch den weiteren Vorgang und erlaubt u.a. das Hinzufügen des NetWare FTP-Servers zum bestehenden System.

Gestartet werden kann der FTP-Dienst über den Aufruf von NWFTP an der Serverkonsole (Eintrag in die Startdatei AUTOEXEC.NCF) oder manuell über den NetWare WebManager, welcher standardmäßig über eine sichere HTTP-Verbindung am Port 2200 des aktiven Netscape Enterprise Webservers erreichbar ist

(z.B.: https://134.108.233.200:2200) .

Grundkonfiguration

Konfiguriert werden kann der FTP-Server bequem über den NetWare WebManager. Hinterlegt wird diese Konfiguration in der Datei FTPSERV.CFG im Verzeichnis SYS:/ETC.

#FTPSERVER Configuration File
#Format: A comment line starts with #
# Each Configuration Parameter is in a single line of form
# parameter=value.

#List of Configuration Parameters with their Values:

#IP address of the host on which FTP Server is being loaded. If parameter
# not specified, it binds the local host
#HOST_IP_ADDR=

#Port Number to which FTP Server should bind and listen for connection
#requests. If not specified, it binds to standard FTP port 21
#FTP_PORT=21

#Maximum number of ftp sessions
#MAX_FTP_SESSIONS=30

#Time duration in seconds for which the session can remain idle
#IDLE_SESSION_TIMEOUT=600

#To Allow or Deny Access to Anonymous Users
ANONYMOUS_ACCESS=Yes

#Home Directory for Anonymous users
ANONYMOUS_HOME=SYS:\FTPVERZ...

Kontextloses Login

Auch über den FTP-Dienst von NetWare ist ein kontextloses Login möglich. Dazu muss (vor dem Start des FTP-Servers) das NLM DSCQRY32 an der Serverkonsole geladen werden und ein Benutzerkatalog konfiguriert sein.

Einschränkung des Benutzerzugriffes

Mit Hilfe der Konfigurationsdatei FTPREST.TXT im Verzeichnis ETC des Volumes SYS können Benutzerestriktionen festgelegt werden. Z.B. nur einer bestimmten Gruppe von Benutzern (Lehrern) den Zugriff erlauben oder den Wechsel auf einen anderen Server nicht erlauben.

# This file contains the restrict ftile format for FTPserver.
# All comment lines should start with a `#'
# If a line continues in the next line, a `\' should be given
# in the end of the first line to indicated the continuation.
# The access rights permitted are
# DENY - Deny access to FTPserver for that client.
# READONLY - Gives Readonly Access to the Client.
# NOREMOTE - Restricts access to remote server navigation.
# GUEST - Gives only guest access to the user.
# ALLOW - Gives the user access to ftpserver.

#NOTE :
# Guest User cannot navigate to remote servers.
# Will be given acces only within his home directory and subdirectories.
# Access rights can be seperated by a comma(,).
# The Access rights are taken according to the order in which they
# appear in the restrict file.

#Key Words :
# "ADDRESS=" Should be given to restrict a particular Node.
# IPAddress or Machine Name can be given.
# "ADDRESS_RANGE=" Should be given to restrict a Range of Nodes based on the
# IPAddress. It applies the restriction to any node having
# the IP Address between the specified IP address Range.
# The Range is specified by two IP addresses separated by
# SPACE.
# "DOMAIN=" Should be given to restrict a particular DOMAIN.
# "*" Should be given for container level restrictions.
# "ACCESS=" Mandatory for each line. Should be followed by access
# rights.
# „ALL" Given for domain name, applies restrictions to all domains.

#Note :
# There should not be space between the word and `=' sign.

#File Format:
# Each line should have one of the Restricttion level keywords
# and access keyword
# For container and User level restrictions, fully distinguished name
# should be give.
# Container/User name can be Canonical or a Full DN name.
# It should start with a period(.) for user Restriction.
# For Container level Restrictions the line should start with a `*'.
# For giving access restrictions to all domain,
# DOMAIN= ALL should be given.

# Examples:
#ADDRESS= 190.90.90.190 ACCESS= NOREMOTE, GUEST
#ADDRESS= testmachine.testdomain.com ACCESS= GUEST
#ADDRESS_RANGE= 164.99.154.1 164.99.155.255 ACCESS= GUEST
#DOMAIN= testdomain.blr.novell.com ACCESS= DENY

*.OU=lehrer.O=UNetz ACCESS= NOREMOTE
*.OU=schueler.O=Unetz ACCESS= DENY

Der Benutzer ANONYMOUS

Der FTP-Dienst von NetWare erlaubt einen anonymen Zugriff auf dafür freigegebene Verzeichnisse und Dateien. Realisiert wird dies über einen NetWare-Benutzer mit dem Namen ANONYMOUS. _ Eingerichtet werden kann dieser durch den Serverkonsolenaufruf NWFTPD -A.

Der Kontext, in welcher dieser Benutzer erstellt werden soll, muss vorher mit Hilfe des Befehles CX gewählt werden. Außerdem muss darauf geachtet werden, dass der Benutzer ANONYMOUS außer in seinem Stammverzeichnis keine Verzeichnis- oder Dateirechte besitzt. In diesem sollte er nur Dateiabfrage- und Leserechte haben. Grundsätzlich sollte man ihm auch sämtliche Rechte auf die sonst (zwar nur lesend) zugänglichen Verzeichnisse wie PUBLIC oder LOGIN auf dem Volume SYS nehmen.

Alternativ zum Serverkonsolenaufruf NWFTP -A kann man auch manuell einen Benutzer ANONYMOUS im gewünschten Kontext anlegen und ihn mit den entsprechenden Attributen versehen.

Standardmäßig ist beim FTP-Dienst von NetWare der anonyme Zugang nicht erlaubt. Dieser kann über den NetWare WebManager aktiviert werden.

Mit einem JA bei „E-Mailadresse als Passwort erforderlich" habe ich schlechte Erfahrungen gemacht. Viele Kollegen haben ihren FTP-Client nicht ordentlich konfiguriert und wissen mit dem entsprechenden Hinweis des FTP-Servers nichts anzufangen.

Aktuell am FTP-Server angemeldete Benutzer

Nach dem Start des Serverkonsolenbefehls FTPSTAT.NLM können über einen Browser am Port 2500 des aktiven Netscape Enterprise Servers Informationen über aktuelle FTP-Zugriffe sichtbar gemacht werden.

Protokolldateien

Ein Blick in die vom NetWare FTP-Server geführten Protokolldateien zeigt nicht nur, wie intensiv der Server genutzt wird, sondern listet auch versuchte Angriffe auf den Server auf. Alle Protokolldateien findet man im Verzeichnis ETC des Volumes SYS.

Als Beispiele je ein Protokollauszug aus einer FTPAUDIT.LOG und einer FTPINTR.LOG:

Info:4:11-Mar-2002 14:40:45 : 172.178.7.231 :: CN=Anonymous.O=UNetz : Logged In
Info:25:11-Mar-2002 14:40:52 : 172.178.7.231 :: Anonymous : KSERVER :
Retrieved File download/internet/pvergl.doc
Info:6:11-Mar-2002 14:41:32 : 172.178.7.231 :: anonymous : Logged out
Info:4:11-Mar-2002 20:42:41 : 212.144.177.18 :: CN=BenTit.OU=schueler.O=UNetz : Logged In
Info:26:11-Mar-2002 20:45:40 : 212.144.177.18 :: BenTit : FS01 : Stored File home/schueler/bentit/kunst2.doc
Info:6:11-Mar-2002 20:45:40 : 212.144.177.18 :: BenTit : Logged out

Info:13:31-Jan-2002 20:54:19 : 62.134.120.126 :: tho.neu. : 1 Wrong Password Attempts
Info:14:31-Jan-2002 20:54:19 : 62.134.120.126 : 1 Connection attempts from Intruder Host
Info:13:31-Jan-2002 20:54:21 : 62.134.120.126 :: tho.neu. : 2 Wrong Password Attempts
Info:14:31-Jan-2002 20:54:21 : 62.134.120.126 : 2 Connection attempts from Intruder Host
Info:13:31-Jan-2002 20:54:24 : 62.134.120.126 :: tho.neu. : 3 Wrong Password Attempts
Info:14:31-Jan-2002 20:54:24 : 62.134.120.126 : 3 Connection attempts from Intruder Host
Info:15:31-Jan-2002 20:55:12 : thoneu. : User Detected As Intruder