Автор Тема: FTP-сервер авторизация через LDAP  (Прочитано 18290 раз)

barrudo

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
FTP-сервер авторизация через LDAP
« : 03 Февраль 2015, 09:55:14 »
Здравствуйте, порыл много инфы в сети, но толковых настроек не нашел.
Прошу подскажите как с 0 настроить proftpd авторизацию через ldap.
Нужно зведение пользователейчерез LDAP, установка прав, директорий, квотирование ftp.
я не спец, а результат нужен срочно, с меня магарыч за помощь в настройке.
« Последнее редактирование: 03 Февраль 2015, 13:12:06 от barrudo »

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: FTP-сервер авторизация через LDAP
« Ответ #1 : 04 Февраль 2015, 09:31:52 »
Здравствуйте! При настройке proftpd есть такая заковыка: многое зависит от версии модуля mod_ldap. От версии к версии названия параметров меняются без сохранения обратной совместимости, поэтому старые howto не работают.

Результаты сегодняшних экспериментов на Ubuntu 12.04, proftpd 1.3.4, раm_ldap 2.9.0. Если в каталоге "стандартные" записи пользователей (объектные классы inetOrgPerson и posixAccount), то настройки proftpd.conf, отличные от дефолтных:
Файл /etc/proftpd/modules.conf:
LoadModule mod_ldap.c
LoadModule mod_quotatab_ldap.c

Файл /etc/proftpd/proftpd.conf:
AuthOrder mod_ldap.c
<IfModule mod_quotatab.c>
QuotaEngine on
QuotaDirectoryTally on
QuotaDisplayUnits Mb
QuotaLog "/var/log/proftpd/quota.log"
QuotaShowQuotas on
QuotaTallyTable file:/var/log/ftpquota.tally
</IfModule>

Include /etc/proftpd/ldap.conf

Файл /etc/proftpd/ldap.conf:
<IfModule mod_ldap.c>
LDAPServer ldap://10.0.0.10/??sub?
LDAPUsers dc=mycompany,dc=ru (uid=%u) (uidNumber=%u)
LDAPDefaultQuota false,hard,10485760,0,0,0,0,0
QuotaLimitTable ldap:
</IfModule>
Нужно ещё создать файл   /var/log/ftpquota.tally,  в котором  будет храниться информация об использовании лимитов ftp-пользователями:
# ftpquota --create-table  --type=tally --units=Mb --table-path=/var/log/ftpquota.tally
Перезапускаем сервер и подключаемся под учёткой из каталога:
# ftp 127.0.0.1
Connected to 127.0.0.1.
220 ProFTPD 1.3.4a Server (Debian) [127.0.0.1]
Name (127.0.0.1:root): egor
331 Password required for egor
Password:
230 User egor logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> quote SITE QUOTA
200-The current quota for this session are [current/limit]:
200-Name: egor
200-Quota Type: User
200-Per Session: False
200-Limit Type: Hard
200-  Uploaded Mb: 0.00/10.00
200-  Downloaded Mb: unlimited
200-  Transferred Mb: unlimited
200-  Uploaded files: unlimited
200-  Downloaded files: unlimited
200-  Transferred files: unlimited
200 Please contact root@myconpany.ru if these entries are inaccurate
ftp> quit
221 Goodbye.
Такие дела. Если нужно что-то иное, то тогда дайте подробное описание задачи:
  • Поднят или нет каталог?
  • Доступ к нему анонимный или нет?
  • Пример записей пользователя, группы, видеокамеры.
  • Какие требуются доп. условия/ограничения?

Что посмотреть: mod_ldap и его изменения, mod_quotatab_ldap.

Егор

barrudo

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Re: FTP-сервер авторизация через LDAP
« Ответ #2 : 04 Февраль 2015, 13:59:28 »
Такие дела. Если нужно что-то иное, то тогда дайте подробное описание задачи:
  • Поднят или нет каталог?
  • Доступ к нему анонимный или нет?
  • Пример записей пользователя, группы, видеокамеры.
  • Какие требуются доп. условия/ограничения?

Что посмотреть: mod_ldap и его изменения, mod_quotatab_ldap.

Егор

Егор, спасибо за ответ. поднял сервак по вашем==им настройкам, теперь запускается и выполняются все директивы.
был подключен phpDlapadmin, туда завели пользоватлей, однако
под этими учетками на ftp://server авторизация не происходит..
как проверить что proftp их цепляет? или что делаю не так?

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: FTP-сервер авторизация через LDAP
« Ответ #3 : 04 Февраль 2015, 14:14:40 »
Смотреть нужно в логи OpenLDAP, происходит ли обращение от хоста, на котором запущен proftpd. Удобнее, если они выводятся в отдельный файл, или можно временно запустить slapd в debug-режиме и смотреть вывод в консоль. loglevel 256 будет в самый раз.

Если доступ к каталогу неанонимный (защищён ACL), то может потребоваться параметр LDAPBindDN:
LDAPBindDN cn=admin,dc=mycompany,dc=ru adminPasswd

Если не получится, покажите сразу LDIF записи пользователя, а то я буду на форуме только через несколько часов.

Егор
« Последнее редактирование: 04 Февраль 2015, 14:43:15 от egor »