Форум проекта Pro-LDAP.ru
Общие вопросы по LDAP => Общий раздел => Тема начата: barrudo от 03 Февраль 2015, 09:55:14
-
Здравствуйте, порыл много инфы в сети, но толковых настроек не нашел.
Прошу подскажите как с 0 настроить proftpd авторизацию через ldap.
Нужно зведение пользователейчерез LDAP, установка прав, директорий, квотирование ftp.
я не спец, а результат нужен срочно, с меня магарыч за помощь в настройке.
-
Здравствуйте! При настройке proftpd есть такая заковыка: многое зависит от версии модуля mod_ldap. От версии к версии названия параметров меняются без сохранения обратной совместимости, поэтому старые howto не работают.
Результаты сегодняшних экспериментов на Ubuntu 12.04, proftpd 1.3.4, раm_ldap 2.9.0. Если в каталоге "стандартные" записи пользователей (объектные классы inetOrgPerson и posixAccount), то настройки proftpd.conf, отличные от дефолтных:
Файл /etc/proftpd/modules.conf:
LoadModule mod_ldap.c
LoadModule mod_quotatab_ldap.c
Файл /etc/proftpd/proftpd.conf:
AuthOrder mod_ldap.c
<IfModule mod_quotatab.c>
QuotaEngine on
QuotaDirectoryTally on
QuotaDisplayUnits Mb
QuotaLog "/var/log/proftpd/quota.log"
QuotaShowQuotas on
QuotaTallyTable file:/var/log/ftpquota.tally
</IfModule>
Include /etc/proftpd/ldap.conf
Файл /etc/proftpd/ldap.conf:
<IfModule mod_ldap.c>
LDAPServer ldap://10.0.0.10/??sub?
LDAPUsers dc=mycompany,dc=ru (uid=%u) (uidNumber=%u)
LDAPDefaultQuota false,hard,10485760,0,0,0,0,0
QuotaLimitTable ldap:
</IfModule>
Нужно ещё создать файл /var/log/ftpquota.tally, в котором будет храниться информация об использовании лимитов ftp-пользователями:
# ftpquota --create-table --type=tally --units=Mb --table-path=/var/log/ftpquota.tally
Перезапускаем сервер и подключаемся под учёткой из каталога:
# ftp 127.0.0.1
Connected to 127.0.0.1.
220 ProFTPD 1.3.4a Server (Debian) [127.0.0.1]
Name (127.0.0.1:root): egor
331 Password required for egor
Password:
230 User egor logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> quote SITE QUOTA
200-The current quota for this session are [current/limit]:
200-Name: egor
200-Quota Type: User
200-Per Session: False
200-Limit Type: Hard
200- Uploaded Mb: 0.00/10.00
200- Downloaded Mb: unlimited
200- Transferred Mb: unlimited
200- Uploaded files: unlimited
200- Downloaded files: unlimited
200- Transferred files: unlimited
200 Please contact root@myconpany.ru if these entries are inaccurate
ftp> quit
221 Goodbye.
Такие дела. Если нужно что-то иное, то тогда дайте подробное описание задачи:
- Поднят или нет каталог?
- Доступ к нему анонимный или нет?
- Пример записей пользователя, группы, видеокамеры.
- Какие требуются доп. условия/ограничения?
Что посмотреть: mod_ldap (http://www.proftpd.org/docs/contrib/mod_ldap.html) и его изменения (https://www.horde.net/~jwm/software/mod_ldap/#changes), mod_quotatab_ldap (http://www.proftpd.org/docs/contrib/mod_quotatab_ldap.html).
Егор
-
Такие дела. Если нужно что-то иное, то тогда дайте подробное описание задачи:
- Поднят или нет каталог?
- Доступ к нему анонимный или нет?
- Пример записей пользователя, группы, видеокамеры.
- Какие требуются доп. условия/ограничения?
Что посмотреть: mod_ldap (http://www.proftpd.org/docs/contrib/mod_ldap.html) и его изменения (https://www.horde.net/~jwm/software/mod_ldap/#changes), mod_quotatab_ldap (http://www.proftpd.org/docs/contrib/mod_quotatab_ldap.html).
Егор
Егор, спасибо за ответ. поднял сервак по вашем==им настройкам, теперь запускается и выполняются все директивы.
был подключен phpDlapadmin, туда завели пользоватлей, однако
под этими учетками на ftp://server авторизация не происходит..
как проверить что proftp их цепляет? или что делаю не так?
-
Смотреть нужно в логи OpenLDAP, происходит ли обращение от хоста, на котором запущен proftpd. Удобнее, если они выводятся в отдельный файл, или можно временно запустить slapd в debug-режиме и смотреть вывод в консоль. loglevel 256 будет в самый раз.
Если доступ к каталогу неанонимный (защищён ACL), то может потребоваться параметр LDAPBindDN:
LDAPBindDN cn=admin,dc=mycompany,dc=ru adminPasswd
Если не получится, покажите сразу LDIF записи пользователя, а то я буду на форуме только через несколько часов.
Егор