[TUTORIAL] Internet Information Services | Configuración de IIS 7.5 para alojar múltiples Sitios Web – Parte 3/3

Last Updated on 22 agosto, 2017 by Pablo Ariel Di Loreto

IIS es el rol de servidor de Microsoft que permite alojar Aplicaciones y Sitios Web. Normalmente instalamos este rol cuando utilizamos Sharepoint, servicios de Certificados de Active Directory u otros componentes que requieren de él. Sin embargo, también podemos instalar dicho rol para alojar la web institucional de nuestra empresa.

En algunos escenarios, requerimos configurar varios sitios web, y contamos con solo pocoas direcciones IPs. ¿Cómo configurar en forma segura varios sitios web a la vez en el mismo servidor y con una sola IP disponible pública? Este tutorial intenta explicar, paso a paso, como lograr una configuración standard de un servidor IIS 7.5 con capacidades multi-site, permitiendo subir contenido a cada sitio mediante protocolo FTP.

Este tutorial forma parte de tres entregas. En esta tercera y última parte vamos a realizar toda la configuración de las funcionalidades FTP. Para mayor información sobre la introducción y otras partes, remitirse al final del documento.

Introducción

Esta es la parte 2/3 de la publicación de este tutorial. Para acceder a las otras partes, por favor revise las Publicaciones Relacionadas al final de la página.

Objetivo del Tutorial

Como recordatorio, el objetivo de esta publicación es demostrar cómo Internet Information Services (IIS) puede brindar un soporte robusto para alojar múltipiles sitios web en modo «Shared Hosting», brindando protección aislada para cada tenant y acceso para publicación por FTP.

Alcance

Los detalles del alcance están en la parte 1/3 de este tutorial. Para recordar detalles del Escenario de Trabajo, Fuera de Alcance y otros detalles, remitirse a dicha parte al final de la publicación, en «Publicaciones Relacionadas».

Objetivo Técnico

El objetivo técnico de esta publicación es poder realizar la instalación del rol IIS 7.5 y la configuración de varios sitios web utilizando las posibilidades «multi-site» de este rol en Windows Server 2008 R2, de modo tal que:

• Se puedan alojar varios sitios web por el protocolo HTTP simultáneamente.
• Se pueda usar una sola dirección IP pública (privada para fines de laboratorio).

Como resultado, tendremos una implementación básica de IIS 7.5 y la posibilidad de alojar diferentes sitios web (que pueden ser clientes) bajo el mismo puerto y dirección IP.

Plan de Trabajo

El plan de trabajo para la segunda parte es el siguiente:

• Preparación del Servidor.
• Instalación de Feature IIS 7.5 Server de Windows Server 2008 R2.
• Configuración de Carpetas de Publicación.
• Configuración de Cuentas de Servicio.
• Configuración de Sitios Web.
• Configuración de DNS Interno para Pruebas.
• Prueba de Acceso a Sitios Web sin Firewall.
• Configuración de publicación FTP.
• Prueba de Acceso a FTP sin Firewall.
• Configuración de Firewall de Windows.
• Prueba de Acceso a Sitios Web y FTP con Firewall.

En esta tercera y última parte, se desarrollarán los puntos desde «Configuración de publicación FTP» hasta el final. El resto de las entregas se encuentran en «Publicaciones Relacionadas» al final de la página.

Desarrollo de la parte 3/3 del Tutorial

Configuración de publicación FTP

Muy bien, ya hemos realizado la configuración de sitio en nuestro IIS 7.5. Para el contenido de ejemplo, hemos pegado nosotros un archivo index.html en cada directorio wwwroot de los sitios web. Ahora bien: ¿cómo hacemos si debemos permitir a otros usuarios, no administradores, la subida de contenido a cada uno de los sitios web?

Supongamos que tenemos clientes, los cuales hacen cambios semanales en sus sitios web. En nuestro caso, Pablo tiene un solo sitio web, pero Vanesa tiene dos. El ordenamiento de carpetas y la jerarquía utilizada fue estratégicamente pensada para este escenario: que cada usuario pueda, aisladamente, subir y ver su contenido sin afectar el de otros.

Utilizaremos el protocolo «FTP» para permitir a los usuarios subir su contenido en forma remota. Para esto, debemos configurar algunas cosas en nuestro IIS.

Creación de Cuentas FTP

Por cada cliente, vamos a crear (por lo menos) una cuenta FTP. Esta cuenta FTP es una cuenta de usuario de Windows la cual luego tendrá derechos y será configurada con un directorio virtual FTP. Para comenzar, entonces, vamos a poner manos a la obra.

Por una cuestión de ordenamiento, las cuentas de Windows que serán luego usadas como FTP tendrán el surfijo «ftp_» y luego tendrá el nombre de usuario o de cliente. Nosotros vamos a crear, para este tutorial, las siguientes cuentas:

• Usuario/Cliente Juan: ftp_Juan
• Usuario/Cliente Pablo: ftp_Pablo
• Usuario/Cliente Vanesa: ftp_Vanesa

Cada usuario tendrá una contraseña asignada que, por supuesto, deberá saber:

Creación de cuenta FTP para Juan.

El listado completo de cuentas sería el siguiente:

Listado de cuentas FTP para los clientes en IIS 7.5.

Creación de Grupo FTP

Por otro lado, vamos a crear un grupo de Windows que se llamará «FTP_Users» y que contendrá a los usuarios que tendrán una cuenta FTP. Este grupo será utilizado, luego, en la configuración para facilitar la creación de los directorios virtuales.

El grupo quedará de la siguiente forma:

Usuarios del grupo FTP_Users para IIS 7.5.

Por supuesto, cuando agreguemos un nuevo usuario FTP vamos a tener que agregarlo a este grupo, sino no podrá ingresar.

Creación de Directorio Raiz FTP

Nuestro FTP va a ser un único sitio FTP, que va a tener aislamiento de usuarios. Esto es gracias a una funcionalidad propia del IIS 7.5. Ahora bien, vamos a necesitar un directorio «vacío» que va a ser el directorio raíz de nuestro sitio FTP. En realidad, este directorio no se utilizará para nada, por eso tendrá que estar vacío y con mínimos privilegios.

Vamos a crear en el disco «E» de nuestro servidor una carpeta que se llama «FTPRoot»:

Creación de carpeta raíz para sitio FTP en IIS 7.5.

Como hicimos antes con el directorio Websites, vamos a quitar la herencia de permisos. Para ello hacemos botón derecho sobre la carpeta «FTPRoot» y luego vamos a propiedades, y elegimos la solapa seguridad:

Seguridad de la carpeta FTPRoot para IIS 7.5.

Allí elegimos «Advanced» y luego «Change Permissions»:

Seguridad de la carpeta FTPRoot para IIS 7.5.

Luego vamos a destildar la opción «Include inheritable permissions…»:

Permisos heredados de la carpeta FTPRoot.

Cuando lo destildemos aparecerá un cartel, al cual le vamos a dar «Add»:

Remoción de herencia en FTPRoot.

Luego aceptaremos dos veces para volver a la solapa «Security», y allí elegiremos «Edit»:

Edición de permisos en carpeta FTPRoot.

Tal como hicimos con «Websites», vamos a eliminar los usuarios que no deben estar allí, dejando solo los siguientes:

Usuarios de la carpeta FTPRoot que deben quedar.

Nótese que:

• No se modificaron los permisos para «Creator Owner», ni para «System» ni para «Administrators».
• Se agregó el grupo «FTP_Users» creado en el paso anterior con derechos de:
  • Read & Execute.
  • List folder contents
  • Read.

Aceptamos y cerramos las propiedades de la carpeta. En resumen, ya tenemos creado nuestro directorio raíz y preparados los permisos para continuar al próximo paso de preparación de nuestro sitio FTP para que cada usuario suba contenido a su sitio.

Creación de Sitio FTP

Aquí vamos a crear el sitio FTP (recordemos que será uno solo) para luego configurar el aislamiento de usuarios.

En la consola IIS vamos a pararnos sobre el nodo «Sites» y elegiremos la opción «Add FTP Site»:

Creación de sitio FTP en IIS 7.5.

En el asistente que se abrirá vamos a completar los primeros datos, indicando el nombre del sitio web (puede ser cualquiera) y la ruta hacia nuestra carpeta «FTPRoot»:

Asistente de creación de sitio FTP en IIS 7.5.

En el próximo paso, luego de hacer «Next», vamos a seleccionar el puerto 21 (viene por default) y vamos a indicarle que no requiera SSL (podríamos, pero en este tutorial no):

Asistente de creación de sitio FTP en IIS 7.5.

En el último paso, vamos a indicar que la autenticación será «Básica», y que permitiremos acceso de solo lectura al grupo de usuarios «FTP_Users»:

Asistente de creación de sitio FTP en IIS 7.5.

Una vez hecho esto, tendremos nuestro sitio FTP preparado para comenzar a configurarlo:

Sitio FTP creado en IIS 7.5.

Configuración de Sitio FTP para Aislamiento de Usuarios

Nuestro sitio FTP está creado pero debemos configurar la funcionalidad de Aislamiento de Usuarios. Esta funcionalidad tiene varias opciones, y la que elegiremos nosotros nos permitirá que cada usuario acceda a un directorio en base a su nombre de usuario. Este directorio, por supuesto, será el de su usuario que contiene todos los sitios web dentro.

Nos pararemos en el sitio creado «FTP Site» y elegiremos la opción «FTP User Isolation»:

Isolación de Usuarios en IIS 7.5 (FTP).

Dentro de esta opción, elegiremos la opción «Isolate Users» y dentro «User name directory»:

Isolación de Usuarios en IIS 7.5 para la función FTP.

La función de aislamiento de usuarios por nombre de directorio tiene las siguientes características:

• Se configura un directorio físico o virtual, en la raíz del sitio FTP, llamado «LocalUser» (para nuestro caso de cuentas locales).
• Se configura, dentro del directorio LocalUser, directorios físicos o virtuales con el nombre del usuario (debe coincidir con el creado en pasos atrás, el del prefijo «ftp_»).
• El usuario, cuando se loguea, es aislado y direccionado a su directorio sin posibilidades de escalamiento de permisos.

En nuestro caso, vamos a crear directorios virtuales (no físicos) para las carpetas «LocalUser» y la de cada usuario.

Para ello, en la raíz del sitio FTP, vamos a hacer botón derecho y elegir «Add Virtual Directory»:

Virtual Directory para aislamiento de usuarios en el FTP del IIS 7.5.

Ingresaremos como nombre del directorio virtual «LocalUser» y el path será igual que el anterior: la carpeta raíz FTPRoot del disco «E»:

Directorio virtual LocalUser para el FTP del IIS 7.5.

Nótese que se creó la carpeta virtual «LocalUser» con algunas opciones dentro:

Carpeta virtual «LocalUser» en el FTP del IIS 7.5.

Si ingresamos a la opción «FTP Authorization Rules» vamos a verificar que los permisos son los mismos que elegimos para la raíz del sitio FTP: solo lectura para el grupo «FTP_Users»:

Permisos para LocalUser en el FTP de IIS 7.5.

Muy bien, dentro del directorio virtual LocalUser comenzaremos a crear los directorios virtuales para cada uno de los usuarios, lo cual veremos en el próximo punto.

Creación de Directorios Virtuales para cada Usuario/Cliente

Ya tenemos nuestro sitio FTP configurado y listo para aislar los usuarios/clientes. En nuestro caso, tenemos tres: Juan, Pablo y Vanesa. Cada uno de estos «Clientes» tiene un usuario de Windows creado, con el prefijo «ftp_». Recordemos que para que el aislamiento funcione en el FTP de IIS 7.5, debemos hacer coincidir el nombre del directorio virtual que crearemos ahora con el nombre del usuario de Windows.

Vamos a comenzar. Sobre la carpeta virtual «LocalUser» vamos a crear otro directorio virtual:

Creación de Directorio Virtual para aislamiento de usuarios en el FTP de IIS 7.5.

En el asistente ingresaremos los datos del usuario para el cliente Juan:

Creación de Directorio Virtual para aislamiento del usuario «ftp_Juan».

Nótese que el alias coincide con el nombre de usuario, y que el directorio físico lo apuntamos a la carpeta raíz de los sitios web para el cliente Juan. Una vez seleccionadas estas opciones, le damos ok. Se creará el directorio virtual quedando de la siguiente manera:

Aislamiento de usuarios en el FTP de IIS 7.5.

Lo próximo que debemos hacer es configurar los permisos para esta entrada. Ingresaremos, primero, a «FTP Authorization Rules» para la carpeta virtual «ftp_Juan»:

Permisos para el directorio virtual ftp_Juan.

Seleccionaremos el permiso heredado de lectura para el grupo «FTP_Users» y lo eliminaremos, con el botón «Remove» del panel derecho. Una vez hecho esto, las reglas FTP Authorization quedarán vacías.

Crearemos una nueva, haciendo clic en «Add Allow Rule»:

Creación de regla FTP Authorization para ftp_Juan.

En esta regla que creamos, debemos indicar que en este directorio virtual el usuario ftp_Juan tiene permisos de lectura y escritura, y solamente él los tendrá (no todo el grupo FTP). Para ello ingresamos los datos como en la siguiente figura:

Creación de Regla de Autorización FTP para ftp_Juan.

Una vez ingresadas las opciones, aceptamos la pantalla.

Los mismos pasos realizados hasta aquí debemos hacer por cada usuario restante: Pablo y Vanesa. La foto final será la siguiente:

Creación de todos los directorios virtuales para aislamiento de usuarios FTP en IIS 7.5.

Como se ve en la figura, cada usuario tiene su directorio virtual el cual está apuntando a su directorio físico del disco «E» carpeta «Websites». Por supuesto, cada directorio virtual tiene sus reglas de autorización FTP (FTP Authorization Rules) configuradas para su usuario.

Muy bien, ya hemos configurado las reglas de autorización, pero ahora nos falta un detalle importante: los permisos NTFS. Para ello, avanzaremos en el siguiente paso.

Configuración de permisos NTFS para aislamiento de usuarios FTP

La acción que nos falta realizar es darle permisos NTFS a cada usuario en su carpeta, permitiéndole leer y grabar datos. Estos permisos se heredan a las carpetas hijas, permitiendo que Juan acceda a leer y escribir en todas las carpetas de sus sitios web que tiene. Si en el futuro se agrega alguno más, no tendremos que hacer nada para que también tenga derechos sobre la nueva.

Para hacer esto, vamos a tomar como ejemplo al cliente Juan y luego lo replicaremos al resto de los clientes/usuarios. Iremos al disco «E» carpeta «Websites» y seleccionaremos la solapa seguridad de las propiedades de la carpeta «Juan». Agregaremos al usuario «ftp_Juan» con todos los permisos (menos FULL CONTROL) para esta carpeta:

Asignación de permisos NTFS para la carpeta «Juan», hacia el usuario ftp_Juan.

De esta forma, la carpeta «Juan» (que contiene sus sitios web) tendrá permisos de lectura y escritura a nivel NTFS asignados al usuario ftp_Juan. Lo mismo debemos hacer con el resto de las carpetas Pablo y Vanesa, por supuesto con sus usuarios «ftp_Pablo» y «ftp_Vanesa» respectivamente.

¡Muy bien! Ya solo queda probar nuestro acceso FTP, cosa que haremos en el siguiente ítem.

Prueba de Acceso a FTP sin Firewall

Ya hemos configurado nuestro aislamiento FTP para cada usuario. Ahora vamos a probarlo. El resultado esperado es que:

• Cuando hagamos login a través de FTP con el usuario ftp_Juan, veamos y podamos subir archivos a los sitios:
  • Sitio1.com
  • Sitio2.com
• Cuando hagamos login a través de FTP con el usuario ftp_Pablo, veamos y podamos subir archivos al sitio:
  • Sitio3.com
• Cuando hagamos login a través de FTP con el usuario ftp_Vanesa, veamos y podamos subir archivos a los sitios:
  • Sitio4.com
  • Sitio5.com

Para ello, desde nuestro equipo DESKTOP01, vamos a abrir un cliente FTP (en nuestro caso un Windows Explorer) e ingresaremos la dirección de nuestro servidor FTP: 192.168.1.235:

Prueba de ingreso FTP en IIS 7.5 con aislamiento de usuarios.

Nos pedirá un nombre de usuario y contraseña:

Prueba de ingreso FTP en IIS 7.5 con aislamiento de usuarios.

Una vez ingresados los de Juan, haremos «Log on» y veremos que aparece:

Prueba de ingreso FTP en IIS 7.5 con aislamiento de usuarios.

Efectivamente, aparecieron las carpetas de los sitios: sitio1.com y sitio2.com como esperábamos! Intentaremos eliminar el archivo de publicación dentro del wwwroot del sitio1.com:

Prueba de ingreso FTP en IIS 7.5 con aislamiento de usuarios.

Veremos que el archivo se eliminó correctamente:

Transacción FTP a través de IIS 7.5.

Y si ingresamos al sitio www.sitio1.com obtendremos un error (al no estar el archivo index.html):

Prueba de sitio web en IIS luego de haber borrado archivos de publicación por FTP.

De esta forma, estamos habilitando a los usuarios/clientes a subir y eliminar contenido a su sitio web sin necesidad de intervención del administración, algo que es muy valioso para ellos y para nosotros!!

Por cada usuario/cliente/sitio web que agreguemos, debemos simplemente seguir los pasos realizados hasta ahora, los cuales serán resumidos al final del tutorial.

Configuración de Firewall de Windows

Hasta ahora hemos realizado todas las configuraciones sin Firewall. Ahora vamos a repasar, rápidamente, que reglas son necesarias para habilitar en el Firewall de Windows (por ejemplo) para segurizar nuestro servidor y reducir la superficie de ataque.

Reglas necesarias de Ingreso

Para ingreso de datos, necesitamos las siguientes reglas habilitadas del Firewall de Windows:

Reglas de Firewall necesarias.

Reglas necesarias para Egreso

A priori, no es necesario habilitar ninguna regla de Egreso.

Creación de nuevos Sitios / Clientes

La gran pregunta, quizás, es: ¿y una vez montado todo esto que hacemos cuando creamos nuevos sitios / usuarios? En vistas a esto, aquí se dejarán los pasos globales a seguir en dichos casos.

Si el sitio web creado es de un usuario existente:

• Crear la cuenta de servicio (cuenta «iis_»).
• Crear los directorios para el sitio web (logs y wwwroot).
• Asignar los permisos a los directorios para el usuario «iis_».
• Crear el sitio web.
• Configurar los Identities de navegación anónima y Application Pool con el usuario «iis_».

Si el sitio web creado es de un nuevo usuario, además de los ítems anteriores:

• Crear la carpeta del Cliente (raíz).
• Crear la cuenta de usuario FTP para el cliente.
• Configurar el directorio virtual para el usuario FTP.
• Asignar los permisos para la cuenta FTP dentro del IIS y en los directorios físicos.

Conclusiones

El rol IIS de Windows Server 2008 R2 nos provee grandes funcionalidades para alojar y administrar múltiples sitios web en un mismo servidor y con una misma IP pública. Estas funcionalidades no se limitan a la publicación de sitios web, sino a todo tipo de aplicaciones .Net y de otros Frameworks (como PHP, Perl, etc).

En este tutorial hemos recorrido todos los pasos para configurar múltiples sitios web aprovechando las posibilidades multi-sitio de IIS, y hemos configurado su modo de publicación y administración de contenido remota a través de otra funcionalidad del rol IIS: FTP.

Se han dejado fuera, por supuesto, otros aspectos más finos de segurización y optimización, los cuales quedarán para otro artículo o tutorial de TecTimes.

¡Gracias a todos y espero que les haya resultado de utilidad!

Referencias y Links

• Acerca de
• Últimas entradas

Pablo Ariel Di Loreto

Director en TecTimes

Mi nombre es Pablo Ariel Di Loreto, nací en Mayo de 1981 y soy oriundo de la Ciudad de Berazategui, Buenos Aires, Argentina.

Mis lazos con la informática comenzaron en el año 1998, cuando tenía 16 años, y comencé a aprender como administrar servidores bajo la plataforma Microsoft (Windows Server, Exchange Server, IIS, y otros) y a realizar desarrollos de software con tecnologías ASP y PHP. Un tiempo más tarde comencé a trabajar ya en forma productiva en la administración de plataformas y desarrollo de software.

Desde hace varios años he tenido una intensa actividad en las comunidades profesionales, a través de eventos, webcasts, foros y publicaciones diversas. En Abril de 2014 fui reconocido como Most Valuable Professional (MVP) por parte de Microsoft, estando hoy reconocido en las especialidades "Windows and Devices for IT" y "Microsoft Azure".

En la actualidad me desarrollo como Service Delivery Manager en Algeiba (http://www.algeiba.com), una compañía que brinda soluciones y servicios tecnológicos, dirigiendo un Equipo de Trabajo de más de 20 personas. También soy el Director de TecTimes, un Portal de Tecnología que nació en el año 2012 como parte de un proyecto personal de contribución a la comunidad tecnológica en español.

Últimas entradas de Pablo Ariel Di Loreto (ver todo)

• [Evento] Microsoft Azure | Tendencias Digitales 2019 – 26/03/2019 - 30 marzo, 2019
• [Evento] Microsoft Azure | Tendencias Digitales 2019 – 06/02/2019 - 12 febrero, 2019
• [Evento] Microsoft Azure | Modernización de Apps con la Nube de Azure – 20/12/2018 - 22 diciembre, 2018