[Linux] OpenLDAP PosixGroup + Proftpd

OpenLDAP PosixGroup + Proftpd [Linux] - Installation - Linux et OS Alternatifs

Marsh Posté le 12-02-2008 à 07:10:01    

Bonjour à tous,
 
Je viens d'installer un serveur OpenLDAP afin de gérer toute les authentification de mon système, à savoi : Linux (pam), Proftpd, Apache et j'en passe. L'authentification PAM fonctionne très bien, néanmoins, je n'arrive pas à faire fonctionner l'authentification Proftpd via un posixGroup.
 
Voici ma structure :  
 
Ou=Groups
 Cn = ftp (posixGroup auquel j'attache x utilisateurs)
 
Ou=Peoples
  Ou=France
    cn=Pierre
    cn=Jean
etc ...
 
J'ai créé le groupe posix "ftp" afin de n'autoriser l'accès FTP qu'aux utilisateurs rattachés. Or, je n'arrive pas à modifier mon proftpd.conf pour qu'ils y accèdent. Il semblerait que proftpd sache lire dans ou=France mais pas dans cn=ftp. J'ai également essayé avec un groupOfNames ... rien à faire. Impossible de mettre des filtres.
 
Ma config proftpd :  
 
qui Fonctionne  

Code :
  1. DAPDoAuth on "ou=France,ou=Peoples,dc=mydomain,dc=com"


 
qui ne foncitonne pas :  

Code :
  1. #LDAPAttr memberUid uid (j'ai tenté ça ne fonctionne pas mieux)
  2. LDAPDoAuth on "cn=ftp,ou=groups,dc=mydomain,dc=com"


 
et c'est pas mieux avec des filtres.
 
Merci de votre aide !


Message édité par manuuu le 12-02-2008 à 10:35:31
Reply

Marsh Posté le 12-02-2008 à 07:10:01   

Reply

Marsh Posté le 12-02-2008 à 10:05:47    

perso, j'ai mis en place pureftpd + ldap, ca fonctionne bien et c'est facile a mettre en place, en plus pureftpd est souvent percu comme plus secure et mieux maintenu

Reply

Marsh Posté le 12-02-2008 à 10:24:10    

mais est ce qu'il accepte justement les posixGroup ?
Je pense que ça doit être qu'un paramètre mais je ne sais pas lequel :)

Reply

Marsh Posté le 12-02-2008 à 10:25:40    

oui tu peux utiliser des filtres ldap pour autoriser les connexions

Reply

Marsh Posté le 12-02-2008 à 10:29:10    

oui dans proftpd aussi mais je n'arrive pas à les mettre en place

Reply

Marsh Posté le 12-02-2008 à 10:34:11    

j'ai cru avoir trouvé :( avec :  
 
 
LDAPDoAuth on "dc=ldap,dc=mydomain,dc=com"
LDAPDoUIDLookups on "ou=France,ou=Peoples,dc=ldap,dc=mydomain,dc=com"
LDAPDoGIDLookups on "cn=ftp,ou=Groups,dc=ldap,dc=mydomain,dc=com"
 
Mais si je supprime l'user de ftp ça marche quand même, mince


Message édité par manuuu le 12-02-2008 à 10:36:00
Reply

Marsh Posté le 12-02-2008 à 10:54:40    

pour info voilà ce que le serveur me repond :  
 
 

Code :
  1. Feb 12 10:52:47 ns24120 slapd[887]: conn=254 fd=16 ACCEPT from IP=xx.xx.xx.xx:58029 (IP=0.0.0.0:636)
  2. Feb 12 10:52:47 ns24120 slapd[887]: conn=254 fd=16 TLS established tls_ssf=256 ssf=256
  3. Feb 12 10:52:47 ns24120 slapd[887]: conn=254 op=0 BIND dn="" method=128
  4. Feb 12 10:52:47 ns24120 slapd[887]: conn=254 op=0 RESULT tag=97 err=0 text=
  5. Feb 12 10:52:47 ns24120 slapd[887]: conn=254 op=1 SRCH base="cn=ftp,ou=Groups,dc=ldap,dc=mydomain,dc=com" scope=2 deref=0 filter="(&(memberUid=monuser)(objectClass=posixGroup))"
  6. Feb 12 10:52:47 ns24120 slapd[887]: conn=254 op=1 SRCH attr=uid uidNumber gidNumber homeDirectory loginShell
  7. Feb 12 10:52:47 ns24120 slapd[887]: <= bdb_equality_candidates: (memberUid) not indexed
  8. Feb 12 10:52:47 ns24120 slapd[887]: conn=254 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
  9. Feb 12 10:52:47 ns24120 slapd[887]: conn=254 op=2 SRCH base="cn=ftp,ou=Groups,dc=ldap,dc=mydomain,dc=com" scope=2 deref=0 filter="(&(memberUid=monuser)(objectClass=posixGroup))"
  10. Feb 12 10:52:47 ns24120 slapd[887]: conn=254 op=2 SRCH attr=gidNumber cn
  11. Feb 12 10:52:47 ns24120 slapd[887]: <= bdb_equality_candidates: (memberUid) not indexed
  12. Feb 12 10:52:47 ns24120 slapd[887]: conn=254 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
  13. Feb 12 10:52:47 ns24120 slapd[887]: conn=254 fd=16 closed (connection lost)


 
et j'ai bien un memberId = monuser dans mon groupe FTP
 
Il a l'air de trouver une correspondance et, voici la reponse dans filezilla :
 

Code :
  1. Response: 220 ProFTPD 1.3.1rc2 Server (ProFTPD Default Installation) [xx.xx.xx.xx]
  2. Command: USER monuser
  3. Error: Disconnected from server
  4. Error: Unable to connect!
  5. Status: Waiting to retry... (5 retries left)


 
et dans /var/log/message :  
 

Code :
  1. FTP session opened.


 
et c'est tout ....


Message édité par manuuu le 12-02-2008 à 11:03:15
Reply

Marsh Posté le 12-02-2008 à 15:59:25    

en fait mon probleme est la création d'un filtre :  
 
Trouver tous les posixAccount (nom de l'objet) qui sont membres du groupe "ftp" (c'est un posixGroup / ftp est un cn)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed