Search

SFTP Server 端口

Version 24.3.9118

SFTP Server 端口

每个 SFTP Server 端口都定义了一个唯一的客户端配置文件,可用于向知行之桥 SFTP Server 进行身份验证。

概述

知行之桥的 SFTP 服务器主要在应用程序的个人设置页面中配置。一旦配置了 SFTP 服务器,就应该为每个有权访问该服务器的用户创建一个 SFTP Server 端口。SFTP Server 端口定义用户的凭据(用户名、密码和/或公钥),并在服务器上提供唯一的主目录。

每个用户的主目录包含一个 发送 文件夹,客户端可以在其中下载文件,和一个 接收 文件夹,客户端可以在其中上传文件。这些文件夹可以在 SFTP Server 端口配置界面的“高级设置”选项卡重命名。SFTP 客户端没有被授予访问 SFTP 服务器根目录的权限,这意味着 SFTP 客户端在连接后应始终使用 cd 命令进入 “Send” (下载)或 “Receive” (上传)目录。

SFTP 服务器还支持 Windows/AD 认证;更多详细信息,请参考 Windows 身份认证

视频资源

观看此短视频,了解如何配置 SFTP 服务器的概述。

个人设置

在与单个 SFTP Server 端口建立连接之前,必须在个人设置的 SFTP 服务器中配置。在 系统设置 页面打开 SFTP Server 选项卡

服务器配置

服务器实施设置

  • 端口 SFTP 服务器将侦听输入连接的端口。
  • 服务器证书 标识服务器的证书。
  • 证书密码 访问服务器证书所需要的密码。
  • 登录提示 连接到服务器时呈现给 SFTP 客户端的提示。
  • 根目录 服务器的根目录。将在根目录下为各个客户端配置文件(即为每个配置的 SFTP Server 端口)创建子文件夹。每个客户端配置文件都包括一个发送文件夹(客户端可以从服务器下载文件)和一个接收文件夹(客户端可以将文件上传到服务器)。
  • 允许文件过滤 一种全局模式,用于确定哪些文件将被 SFTP 服务器接受。可以在逗号分隔的列表中指定多个模式(例如,*.x12,*.edi),可以指定负模式来排除某些文件模式(例如 -*.txt)。
  • Windows 身份验证 选中此选项可使用 Windows 身份验证而不是 SFTP 服务器端口配置来对用户进行身份验证。 仅在知行之桥的 .NET 版本 中可用。 有关详细信息,请参阅 Windows 身份验证
  • 安全组 用于授予服务器访问权限的 Windows 组的名称。 这可以是本地计算机或域上的组。 仅当选中 使用 Windows 身份验证 时才适用。

账户锁定

与锁定服务器访问相关的可选设置。

  • 失败次数 尝试登陆失败指定次数后,账户将被锁定。
  • 锁定时间 账户锁定时间(单位:分钟)。
  • 检测周期 在指定时间内登陆失败次数超过限制后,账户将被锁定(单位:分钟)。

受信任的 IP 地址

此选项卡上的 可信 IP 地址 部分提供以下功能:

  • 添加 输入新的 IP 地址范围。
  • 编辑 修改选定的 IP 地址范围。
  • 删除 从列表中删除选定的 IP 地址范围。

以下限制适用于此功能:

  • localhost 不能被修改或从列表中删除。
  • 任何超出定义范围的 IP 地址都将被拒绝。
  • 支持IP范围。 例如,“100.10.100.1-15”条目表示允许100.10.100.1至100.10.100.15之间的IP地址访问。
  • 支持 无类别域间路由(CIDR) 表示法。 例如,“100.10.100.0/24”条目表示允许100.10.100.0至100.10.100.255之间的IP地址访问。
  • 支持通配符模式。 例如,条目 100.10.100.* 表示允许以 100.10.100 开头的 IP 地址。 任何超出该范围的 IP 地址都将被拒绝。

注意:为了让客户端能够访问服务器,需要有清晰的网络路径。在云环境中,可能需要在三个地方进行更改:

  • 云控制台中的网络规则。
  • 托管应用程序的机器上的防火墙规则。例如,在使用 Amazon AMI 时,可以使用 简单防火墙 (UFW) 来允许所需端口上的流量。Linux 环境中的常见策略是将流量从低于 1024 的端口转发到高于 1024 的非标准端口,同时将应用程序配置为使用非标准端口。这可以避免与非 root 用户绑定到低于 1024 的端口相关的权限问题。
  • 系统设置 页面的 受信任的 IP 地址 部分。

高级设置

  • 空闲超时 超过指定时间(单位:秒)用户无活动被视为超时。

日志

管理日志的创建和存储的设置。

  • 日志级别 端口生成的日志的详细程度。 当请求支持时,请将其设置为 Debug
  • 日志循环周期 创建新日志文件之前等待的天数。
  • 日志删除周期 删除旧日志文件之前等待的天数。

特殊设置

特殊设置 适用于特定用例。

  • 其他设置 允许在以分号分隔的列表中配置隐藏的端口设置,例如setting1=value1;setting2=value2。 正常的端口用例和功能不需要使用这些设置。

端口配置

配置 SFTP 服务器配置文件设置后,请在 工作流 页面上为每个交易伙伴创建并配置单独的 SFTP Server 端口。

设置选项卡

设置

  • 端口 Id 端口的静态、唯一标识符。
  • 端口类型 显示端口类型及其用途的描述。
  • 端口描述 一个可选字段,用于提供端口及其在流中的角色的自由格式描述。

用户配置

向本地 SFTP 服务器进行身份验证的凭据。

  • 用户 登录到本地 SFTP 服务器的用户名凭据。
  • 身份验证模式 用于 SFTP 服务器的身份验证类型。以下字段根据身份验证模式而有所不同。
  • 密码 登录 SFTP 服务器的密码凭据。
  • 客户端密钥 公钥证书对应于客户端将在公钥身份验证期间使用的私有证书。

权限

与客户端上传下载文件相关的文件夹读写权限的设置。

  • Send 文件夹权限 客户端是否应具有 Send 目录的读/写权限。从这个目录下载文件。
  • Receive 文件夹权限 客户端是否应该拥有 Receive 目录的读/写权限。文件上传到这个的目录。

通知

与配置警报和服务等级协议 (SLA) 相关的设置。

端口邮件设置

在执行 SLA 之前,需要设置电子邮件警报以获取通知。 单击 配置通知 将打开一个新的浏览器窗口,转到 系统设置,可以在其中设置系统范围的警报。 有关详细信息,请参阅通知

服务等级协议 (SLA) 配置

SLA 能够配置期望工作流中的端口发送或接收的数量,并设置期望满足该数量的时间范围。 知行之桥在不满足 SLA 时发送电子邮件警告用户,并将 SLA 标记为 有风险,这意味着如果很快不满足 SLA,则会将其标记为 已违反。 这使用户有机会介入并确定未满足 SLA 的原因,并采取适当的措施。 如果在风险时间段结束时仍未满足 SLA,则将 SLA 标记为违反,并再次通知用户。

要定义 SLA,请单击 添加预期数量条件

  • 如果端口具有单独的发送和接收操作,请使用单选按钮指定 SLA 所属的方向。
  • 期待至少 设置为期望处理的最小交易数量(交易量),然后使用 字段指定时间范围。
  • 默认情况下,SLA 每天都有效。 要更改此设置,请取消选中每日,然后选中想要的一周中的几天的框。
  • 使用 将状态设置为“有风险” 来指示何时应将 SLA 标记为存在风险。
  • 默认情况下,在违反 SLA 之前不会发送通知。 要更改此设置,请选中 发送“有风险”通知

以下示例显示为预计周一至周五每天接收 1000 个文件的端口配置的 SLA。 如果尚未收到 1000 个文件,则会在该时间段结束前 1 小时发送风险通知。

高级选项卡

本地文件夹

与客户端上传下载文件相关的文件夹的设置。

  • Send 文件夹 客户端可以下载位于 “Send” 文件夹中的文件。
  • Receive 文件夹 客户端上传的文件应该放在 Receive 文件夹中。文件将保留在 Receive 文件夹中,或者传递到工作流中下一个连接的端口。

其他路径

SFTP Server 端口允许公开除输入和输出文件夹之外的路径。 要配置其他路径,请按照下列步骤操作:

  1. 路径来指定需要暴漏的路径。此处值为对于个人配置根目录的相对路径。
  2. 为此路径指定相应的权限。
  3. 如果需要更多路径,点击新增并重复以上步骤。 例如,如果根目录/var/opt/arc/sftpserver,并且路径指定为 MyAdditionalPath。那么,它将会映射到磁盘上 /var/opt/arc/sftpserver/MyAdditionalPath 的位置。

高级设置

设置不包括在以前的类别中。

  • 允许文件过滤 一种全局模式,用于确定哪些文件可以上传到该用户的目录中。当需要为每个用户指定过滤器时,覆盖 SFTP 个人设置页面中相同名称的设置。可以在逗号分隔的列表中指定多个模式(例如,*.x12,*.edi),可以指定负模式来排除某些文件模式(例如 -*.txt)。
  • 发送后移动文件 客户端下载“发送”文件夹中的文件后,是否应将其移动到“已发送”文件夹。
  • 临时接收扩展 具有匹配扩展名的文件不会记录在接收表中,并且在重命名文件之前不会触发接收后事件。使用逗号分隔扩展名列表。
  • 超时 在引发超时错误之前,服务器等待连接响应的持续时间。(秒)
  • 保存 Subfolder 选中此项可将 Subfolder 消息头添加到收到的消息中。 它表示相对于本地文件夹或其他路径的路径。

消息

消息设置 确定端口如何搜索消息并在处理后管理它们。 可以将消息保存到你的 已发送 文件夹,或者可以根据 已发送 文件夹方案将它们保存,如下所述。

  • 保存至 Sent 文件夹 选中此选项可将端口处理的文件复制到端口的已发送文件夹中。
  • 已发送文件夹方案 端口根据选定的时间间隔对已发送文件夹中的文件进行分组。例如,选项每周(Weekly)指示端口每周创建一个新的子文件夹,并将本周发送的所有文件存储在该文件夹中。空白设置告诉端口将所有文件直接保存在“Sent”文件夹中。对于处理许多事务的端口,使用子文件夹可以帮助保持文件有序并提高性能。

日志

  • 日志级别 端口生成的日志的详细程度。 当端口请求支持时,请将其设置为 调试
  • 日志子文件夹方案 指端口根据选定的时间间隔对日志文件夹中的文件进行分组。 例如,Weekly 选项表示端口每周创建一个新子文件夹并将该周的所有日志存储在该文件夹中。 空白设置告诉端口将所有日志直接保存在 Logs 文件夹中。 对于处理大量事务的端口,使用子文件夹有助于保持日志井井有条并提高性能。
  • 保留消息副本 选中此项可使已处理文件的日志条目包含文件本身的副本。 如果禁用此功能,端口可能无法从 输入输出 选项卡下载文件的副本。

特殊设置

特殊设置 适用于特定用例。

  • 其他设置 允许在以分号分隔的列表中配置隐藏的端口设置,例如setting1=value1;setting2=value2。 正常的端口用例和功能不需要使用这些设置。

建立一个连接

每个已配置的 SFTP Server 端口代表一个贸易伙伴的连接参数。贸易伙伴应使用个人设置页面中的服务器设置(端口、服务器证书等)和专用 SFTP Server 端口中的身份验证设置(用户、密码)连接到 SFTP 服务器。

每个贸易伙伴都有一对单独的发送和接收目录,它们是根目录的子文件夹。合作伙伴应该从发送文件夹下载文件,并将文件上传到接收文件夹。不允许客户端从根目录上传或下载文件。

Windows 身份认证

当在个人设置 SFTP Server 选项卡中启用了 Windows 身份验证时,不需要单个 SFTP Server 端口来授予对 SFTP 服务器的登录访问权限。相反,应被授予服务器访问权限的 Windows 安全组 是在 SFTP 服务器配置文件中指定的。

使用 Windows 身份验证时,根目录 配置文件设置支持 %User% 和 %Domain% 宏,以便为安全组中的不同用户建立不同的根目录。使用 Windows 身份验证时,允许用户上传/下载根目录中的文件(请注意,使用 SFTP Server 端口进行身份验证时,情况并非如此)。

一旦文件上传到用户特定的文件夹,就可以使用文件端口将它们输入到 知行之桥 工作流中。

常见错误

错误:

“Could not bind server socket: Permission denied.”

原因

当尝试连接到 SFTP 服务器并且托管知行之桥的进程没有足够的权限在指定端口上建立侦听器时,会出现此错误。注意,在某些情况下(比如 linux 环境和 Amazon AMI 中运行的托管实例),低于1024的端口是禁止访问的。

解决方案

选择其他端口,或将托管知行之桥的进程身份更改为具有绑定到该端口权限的进程身份。

如在 Amazon 云中使用 Ubuntu 操作系统,建议使用 简单防火墙 (UFW) 来管理端口权限问题。例如,在知行之桥中设置 SFTP 服务器以在端口 2022 上运行,并使用 UFW 在操作系统级别将端口 22 转发到 2022,如下所示:

ufw allow 22/tcp
ufw allow 2022/tcp
echo "
*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2022
COMMIT" >> /etc/ufw/before.rules

如果环境使用不同的 Linux 操作系统,我们建议绑定到限制范围以上的端口(例如,对于 SFTP 流量,绑定到 8022),并使用 iptables 将所需端口上的传入请求路由到允许的端口:

iptables -t nat -I PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 8022