ldap + proftp

[schizoid]

народ, кто-нить настраивал данную связку?
интересует не просто авторизация через лдап.
при создании юзера в лдапе указывается помимо всего прочего его uidNumber и gidNumber.
вопрос, можно ли использовать эти данные в теге профтп AllowGroup и AllowUser ?

если кто-то делал, мона примерчик?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[princeps]

Мммм, как-то исследовал этот вопрос. Вот пара закладок осталась:
http://www.opennet.ru/base/net/ftp_ldap.txt.html
http://www.opennet.ru/base/net/proftpd_ldap.txt.html

[schizoid]

это все я видел, но там нет нужной мне информации, а то что там есть я как-то не могу применить ...может туплю...

[fr33man]

Если я правильно помню, то на сайте proftpd очень много примеров для LDAP'а.

[schizoid]

раздуплился. затык был в том, что я указывал идентификатор группы (цифровой), а ему нуно было имя группы. вот. мож кому пригодится .

[princeps]

напиши статью. Мне понадобится скоро.

[schizoid]

да там нефиг делать и я под линух делал. все по выше перечисленным статьям.

[princeps]

да там нефиг делать

Ну напиши маленькую статью Есть же на сайте статьи в пару абзацев.

[schizoid]

хз, просто это я делал на работе, на которой у мну сегодня последний день

[princeps]

Ну, тогда поздравляю !!!

[schizoid]

пасиба.
ты делай, если че не получится - свисти, памагу чем смагу

[GRooVE]

Доброе время суток!
Поднял старую тему, поскольку есть проблема в настройке данной связки!
Поднимал LDAP по статьям:
samba_pdc + ddns + dhcp - с хранением всех данных в LDAP
Samba(PDC) + Ldap
Все замечательно работает, никаких нареканий.... не было до тех пор, пока не появилась надобность юзать пользователям свои домашние директории удаленно)
Реализовать решил через Proftpd + ldap
погуглил, покурил маны, нашел пару статеек на эту тему... вроде как ничего сложного, начал настраивать:
скомпилил proftpd с mod_ldap, добавил в proftpd.conf:

Код: Выделить всё

LDAPServer localhost 
LDAPDNInfo cn=root,dc=mydomain,dc=local mypass
LDAPDoAuth on uid=%v,ou=users,dc=mydomain,dc=local

ну и вроде как после этого должно было заработать... только юзеры не проходят авторизацию!

Код: Выделить всё

root@ns [/usr/local/etc]# ftp localhost
Trying ::1...
Trying 127.0.0.1...
Connected to localhost.
220 ProFTPD 1.3.2 Server (MyDomain FTP Server) [127.0.0.1]
Name (localhost:root): admin
331 Password required for admin
Password:
530 Login incorrect.
ftp: Login failed.

Код: Выделить всё

dn: uid=admin,ou=users,dc=mydomain,dc=local
objectClass: account
objectClass: posixAccount
objectClass: sambaSamAccount
cn: admin
uid: admin
uidNumber: 10001
gidNumber: 10001
homeDirectory: /home/samba/homes/admin
gecos: admin
description: User account
userPassword:: e1NTSEF9SHduZGc4ZTdhNk0rREFyWjJOaEpnQzd1ZkswbGFNbXQ=
sambaSID: S-1-5-21-488727015-3104705179-493824051-1001
displayName: admin
sambaNTPassword: 39B4C67A9C3CE3A9FD47C82D08A731D8
sambaPasswordHistory: 00000000000000000000000000000000000000000000000000000000
 00000000
sambaPwdLastSet: 1243688941
sambaAcctFlags: [U          ]
loginShell: /bin/sh
sambaPwdMustChange: 0

Долго ковырялся... сначала выяснил, что у пользователя должен быть обязательно установленный шелл по-умолчанию (с noshell он, зараза, не логинился... проверял на локальных пользователях). Поменял в LDAP всем шеллы на /bin/sh, думал, что проблема решена, однако все равно проблема осталась. Подскажите, к какую сторону стоит ковырять?
Основная проблема не в том, что не работает, а в том, что я не знаю каким образом данную связку дебажить... так что юзаю только auth.log и debug.log
Пните в нужном направлении, плиз!

[kapka]

Возможно уже не актуально, но я делал что-то похожее (по тем же статьям).
proftpd.conf:

Код: Выделить всё

ServerName                      "MY FTP Server"
ServerType                      standalone
DefaultServer                   on
ScoreboardFile                  /var/run/proftpd.scoreboard
Port                            21
MasqueradeAddress               fs.my.local
PassivePorts                    35500 35600
TimeoutIdle                     600
TimeoutLogin                    180
UseReverseDNS                   off
LDAPServer                      localhost
LDAPDNInfo                      "cn=root,dc=licey,dc=local" passw
LDAPDoAuth on "ou=users,dc=licey,dc=local" "(&(uid=%v)(objectclass=posixAccount))"
Umask                           022
MaxInstances                    30
User                            nobody
Group                           nogroup
DefaultRoot                     ~
AllowOverwrite                  on
RequireValidShell               off
<Limit SITE_CHMOD>
  DenyAll
</Limit>

В таком виде все работает прекрасно уже больше года.

Долго ковырялся... сначала выяснил, что у пользователя должен быть обязательно установленный шелл по-умолчанию (с noshell он, зараза, не логинился... проверял на локальных пользователях).

У меня с loginShell: /usr/sbin/nologin работает.
А вот сейчас захотелось, чтоб некоторым пользователям кроме их домашних директорий была доступна еще одна. К примеру пользователю user при входе кроме домашней директории /home/user нужно видеть еще и /data. Все, что смог найти и прочитать меня на умные мысли не натолкнуло. Может кто сталкивался с похожим случаем - подскажите плиз.

[GRooVE]

А вот сейчас захотелось, чтоб некоторым пользователям кроме их домашних директорий была доступна еще одна. К примеру пользователю user при входе кроме домашней директории /home/user нужно видеть еще и /data. Все, что смог найти и прочитать меня на умные мысли не натолкнуло. Может кто сталкивался с похожим случаем - подскажите плиз.

я использую

Код: Выделить всё

mount_nullfs

[m0ps]

ага, а меня интересует как можно сделать, что б все пользователи, которые входили на ftp попадали не в домашний каталог, а в определенную папку (к примеру /shares/data)
хочу к файлопомойке на самбе (с интеграцией в AD) прикрутить ftp (для медленных каналов)

[kapka]

mount_nullfs

спасибо, мне подошло

ага, а меня интересует как можно сделать, что б все пользователи, которые входили на ftp попадали не в домашний каталог, а в определенную папку (к примеру /shares/data)
хочу к файлопомойке на самбе (с интеграцией в AD) прикрутить ftp (для медленных каналов)

Код: Выделить всё

DefaultRoot    /shares/data