ldap + proftp

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

ldap + proftp

Непрочитанное сообщение schizoid » 2008-03-13 12:35:53

народ, кто-нить настраивал данную связку?
интересует не просто авторизация через лдап.
при создании юзера в лдапе указывается помимо всего прочего его uidNumber и gidNumber.
вопрос, можно ли использовать эти данные в теге профтп AllowGroup и AllowUser ?

если кто-то делал, мона примерчик?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: ldap + proftp

Непрочитанное сообщение princeps » 2008-03-13 13:19:36

Мммм, как-то исследовал этот вопрос. Вот пара закладок осталась:
http://www.opennet.ru/base/net/ftp_ldap.txt.html
http://www.opennet.ru/base/net/proftpd_ldap.txt.html
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ldap + proftp

Непрочитанное сообщение schizoid » 2008-03-13 13:49:20

это все я видел, но там нет нужной мне информации, а то что там есть я как-то не могу применить ...может туплю...
ядерный взрыв...смертельно красиво...жаль, что не вечно...

fr33man
сержант
Сообщения: 218
Зарегистрирован: 2006-09-04 17:41:27
Откуда: Москва
Контактная информация:

Re: ldap + proftp

Непрочитанное сообщение fr33man » 2008-03-13 23:47:46

Если я правильно помню, то на сайте proftpd очень много примеров для LDAP'а.
WBR Озеров Василий aka fr33man

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ldap + proftp

Непрочитанное сообщение schizoid » 2008-03-14 10:35:39

раздуплился. затык был в том, что я указывал идентификатор группы (цифровой), а ему нуно было имя группы. вот. мож кому пригодится .
ядерный взрыв...смертельно красиво...жаль, что не вечно...

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: ldap + proftp

Непрочитанное сообщение princeps » 2008-03-14 10:38:40

напиши статью. Мне понадобится скоро.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ldap + proftp

Непрочитанное сообщение schizoid » 2008-03-14 13:51:46

да там нефиг делать и я под линух делал. все по выше перечисленным статьям.
ядерный взрыв...смертельно красиво...жаль, что не вечно...

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: ldap + proftp

Непрочитанное сообщение princeps » 2008-03-14 14:16:10

schizoid писал(а):да там нефиг делать
Ну напиши маленькую статью :) Есть же на сайте статьи в пару абзацев.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ldap + proftp

Непрочитанное сообщение schizoid » 2008-03-14 16:10:08

хз, просто это я делал на работе, на которой у мну сегодня последний день :)
ядерный взрыв...смертельно красиво...жаль, что не вечно...

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: ldap + proftp

Непрочитанное сообщение princeps » 2008-03-14 17:36:35

Ну, тогда поздравляю !!! :P
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ldap + proftp

Непрочитанное сообщение schizoid » 2008-03-14 17:50:26

пасиба.
ты делай, если че не получится - свисти, памагу чем смагу ;)
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
GRooVE
ст. сержант
Сообщения: 309
Зарегистрирован: 2009-01-04 10:33:43
Откуда: Odessa, UA
Контактная информация:

Re: ldap + proftp

Непрочитанное сообщение GRooVE » 2009-06-11 16:21:12

Доброе время суток!
Поднял старую тему, поскольку есть проблема в настройке данной связки!
Поднимал LDAP по статьям:
samba_pdc + ddns + dhcp - с хранением всех данных в LDAP
Samba(PDC) + Ldap
Все замечательно работает, никаких нареканий.... не было до тех пор, пока не появилась надобность юзать пользователям свои домашние директории удаленно)
Реализовать решил через Proftpd + ldap
погуглил, покурил маны, нашел пару статеек на эту тему... вроде как ничего сложного, начал настраивать:
скомпилил proftpd с mod_ldap, добавил в proftpd.conf:

Код: Выделить всё

LDAPServer localhost 
LDAPDNInfo cn=root,dc=mydomain,dc=local mypass
LDAPDoAuth on uid=%v,ou=users,dc=mydomain,dc=local
ну и вроде как после этого должно было заработать... только юзеры не проходят авторизацию!

Код: Выделить всё

root@ns [/usr/local/etc]# ftp localhost
Trying ::1...
Trying 127.0.0.1...
Connected to localhost.
220 ProFTPD 1.3.2 Server (MyDomain FTP Server) [127.0.0.1]
Name (localhost:root): admin
331 Password required for admin
Password:
530 Login incorrect.
ftp: Login failed.

Код: Выделить всё

dn: uid=admin,ou=users,dc=mydomain,dc=local
objectClass: account
objectClass: posixAccount
objectClass: sambaSamAccount
cn: admin
uid: admin
uidNumber: 10001
gidNumber: 10001
homeDirectory: /home/samba/homes/admin
gecos: admin
description: User account
userPassword:: e1NTSEF9SHduZGc4ZTdhNk0rREFyWjJOaEpnQzd1ZkswbGFNbXQ=
sambaSID: S-1-5-21-488727015-3104705179-493824051-1001
displayName: admin
sambaNTPassword: 39B4C67A9C3CE3A9FD47C82D08A731D8
sambaPasswordHistory: 00000000000000000000000000000000000000000000000000000000
 00000000
sambaPwdLastSet: 1243688941
sambaAcctFlags: [U          ]
loginShell: /bin/sh
sambaPwdMustChange: 0
Долго ковырялся... сначала выяснил, что у пользователя должен быть обязательно установленный шелл по-умолчанию (с noshell он, зараза, не логинился... проверял на локальных пользователях). Поменял в LDAP всем шеллы на /bin/sh, думал, что проблема решена, однако все равно проблема осталась. Подскажите, к какую сторону стоит ковырять?
Основная проблема не в том, что не работает, а в том, что я не знаю каким образом данную связку дебажить... так что юзаю только auth.log и debug.log
Пните в нужном направлении, плиз!

kapka
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-10-25 15:58:13
Откуда: Украина
Контактная информация:

Re: ldap + proftp

Непрочитанное сообщение kapka » 2009-11-03 17:11:08

Возможно уже не актуально, но я делал что-то похожее (по тем же статьям).
proftpd.conf:

Код: Выделить всё

ServerName                      "MY FTP Server"
ServerType                      standalone
DefaultServer                   on
ScoreboardFile                  /var/run/proftpd.scoreboard
Port                            21
MasqueradeAddress               fs.my.local
PassivePorts                    35500 35600
TimeoutIdle                     600
TimeoutLogin                    180
UseReverseDNS                   off
LDAPServer                      localhost
LDAPDNInfo                      "cn=root,dc=licey,dc=local" passw
LDAPDoAuth on "ou=users,dc=licey,dc=local" "(&(uid=%v)(objectclass=posixAccount))"
Umask                           022
MaxInstances                    30
User                            nobody
Group                           nogroup
DefaultRoot                     ~
AllowOverwrite                  on
RequireValidShell               off
<Limit SITE_CHMOD>
  DenyAll
</Limit>
В таком виде все работает прекрасно уже больше года.
schizoid писал(а):Долго ковырялся... сначала выяснил, что у пользователя должен быть обязательно установленный шелл по-умолчанию (с noshell он, зараза, не логинился... проверял на локальных пользователях).
У меня с loginShell: /usr/sbin/nologin работает.
А вот сейчас захотелось, чтоб некоторым пользователям кроме их домашних директорий была доступна еще одна. К примеру пользователю user при входе кроме домашней директории /home/user нужно видеть еще и /data. Все, что смог найти и прочитать меня на умные мысли не натолкнуло. Может кто сталкивался с похожим случаем - подскажите плиз.
Последний раз редактировалось kapka 2009-11-03 17:14:11, всего редактировалось 1 раз.
мы живем в стране с обширными недокументированными возможностями...

Аватара пользователя
GRooVE
ст. сержант
Сообщения: 309
Зарегистрирован: 2009-01-04 10:33:43
Откуда: Odessa, UA
Контактная информация:

Re: ldap + proftp

Непрочитанное сообщение GRooVE » 2009-11-03 17:13:38

kapka писал(а):А вот сейчас захотелось, чтоб некоторым пользователям кроме их домашних директорий была доступна еще одна. К примеру пользователю user при входе кроме домашней директории /home/user нужно видеть еще и /data. Все, что смог найти и прочитать меня на умные мысли не натолкнуло. Может кто сталкивался с похожим случаем - подскажите плиз.
я использую

Код: Выделить всё

mount_nullfs

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: ldap + proftp

Непрочитанное сообщение m0ps » 2009-11-03 18:06:18

ага, а меня интересует как можно сделать, что б все пользователи, которые входили на ftp попадали не в домашний каталог, а в определенную папку (к примеру /shares/data)
хочу к файлопомойке на самбе (с интеграцией в AD) прикрутить ftp (для медленных каналов)

kapka
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-10-25 15:58:13
Откуда: Украина
Контактная информация:

Re: ldap + proftp

Непрочитанное сообщение kapka » 2009-11-04 0:33:04

kapka писал(а):mount_nullfs
спасибо, мне подошло
m0ps писал(а):ага, а меня интересует как можно сделать, что б все пользователи, которые входили на ftp попадали не в домашний каталог, а в определенную папку (к примеру /shares/data)
хочу к файлопомойке на самбе (с интеграцией в AD) прикрутить ftp (для медленных каналов)

Код: Выделить всё

DefaultRoot    /shares/data                 
мы живем в стране с обширными недокументированными возможностями...