web-dev-qa-db-ja.com

VsFTPd-LDAP-PAM

LDAPサーバーを再度認証するようにVsFTPdサーバーを構成しようとしています。簡単かもしれませんが、LDAPとPAMの両方を使用するのは初めてなので、いくつかの問題があります。 VsFTPdはUbuntuサーバー11.04で実行され、LDAPは10.10 UbuntuサーバーのOpenLDAPです。最初のAppArmorを無効にしました。 VsFTPdがLDAPサーバーに接続できません。syslogで次のようにしています。

vsftpd: pam_ldap: ldap_simple_bind Can't contact LDAP server

ldapsearchを実行できるので、LDAPサーバーは問題ありません。

これが私の/etc/pam.d/vsftpdファイルです。

auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
@include common-account
@include common-session
@include common-auth
auth required pam_ldap.so
account required pam_ldap.so
session required pam_ldap.so
password required pam_ldap.so

そして、これが私の/etc/ldap.confファイルです。

base dc=example,dc=com
uri ldapi:///ldap.example.com
ldap_version 3
rootbinddn cn=admin,dc=example,dc=com
pam_password md5
nss_initgroups_ignoreusers a_bunch_of_system_users

誰かが私を助けてくれますか?ありがとうございました。

編集:/etc/pam.d/vsftpdファイルの新しいバージョン:

auth    required    pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed

account required    pam_unix.so
account sufficient  pam_ldap.so

session required    pam_limits.so
session required    pam_unix.so
session optimal     pam_ldap.so

auth    required    pam_env.so
auth    sufficient  pam_unix.so nullok_secure
auth    sufficient  pam_ldap.so use_first_pass

auth    required    pam_shells.so
5
Totor

による man ldap.conf

URI <ldap[si]://[name[:port]] ...>

URIスキームはldapldapsまたはldapiのいずれかであり、LDAP over TCP、LDAP over SSL(TLS)およびLDAP over IPC(UNIXドメインソケット)、それぞれ。

したがって、uri ldapi:///ldap.example.comからuri ldap:///ldap.example.com そしてさらに試みる。

2
quanta

問題のこの部分は解決されました。作業中の/etc/pam.d/vsftpdファイルは次のとおりです。

auth                    required                pam_ldap.so
account                 required                pam_ldap.so
password                required                pam_ldap.so

そして、この行を/etc/vsftpd.confに追加する必要があります:

guest_enable=YES

この後も、FTPサーバーでLDAPユーザーを適切にchrootするための作業がいくつかありますが、ユーザーはログインできます。

ご協力いただきありがとうございます。結局のところ、ACLはここでは問題ではありませんでした。

2
Totor