Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[OPENLDAP] PosixGroup pour authentification Proftpd ?
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
Manuuu
n00b
n00b


Joined: 12 Feb 2008
Posts: 14

PostPosted: Tue Feb 12, 2008 6:14 am    Post subject: [OPENLDAP] PosixGroup pour authentification Proftpd ? Reply with quote

Bonjour à tous,

Je viens d'installer un serveur OpenLDAP afin de gérer toute les authentification de mon système, à savoi : Linux (pam), Proftpd, Apache et j'en passe. L'authentification PAM fonctionne très bien, néanmoins, je n'arrive pas à faire fonctionner l'authentification Proftpd via un posixGroup.

Voici ma structure :

Ou=Groups
Cn = ftp (posixGroup auquel j'attache x utilisateurs)

Ou=Peoples
Ou=France
cn=Pierre
cn=Jean
etc ...

J'ai créé le groupe posix "ftp" afin de n'autoriser l'accès FTP qu'aux utilisateurs rattachés. Or, je n'arrive pas à modifier mon proftpd.conf pour qu'ils y accèdent. Il semblerait que proftpd sache lire dans ou=France mais pas dans cn=ftp. J'ai également essayé avec un groupOfNames ... rien à faire. Impossible de mettre des filtres.

Ma config proftpd :

qui Fonctionne


Code :
Code:
DAPDoAuth on "ou=France,ou=Peoples,dc=mydomain,dc=com"



qui ne foncitonne pas :
Code :
Code:

#LDAPAttr memberUid uid (j'ai tenté ça ne fonctionne pas mieux)
LDAPDoAuth on "cn=ftp,ou=groups,dc=mydomain,dc=com"



et c'est pas mieux avec des filtres.

Merci de votre aide !


Last edited by Manuuu on Tue Feb 12, 2008 9:38 am; edited 1 time in total
Back to top
View user's profile Send private message
X-Guardian
Tux's lil' helper
Tux's lil' helper


Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France

PostPosted: Tue Feb 12, 2008 9:05 am    Post subject: Reply with quote

Salut,

J'installe ProFTPd, je teste et je te dis quoi d'ici quelques heures ^^ :p

@+,
Guile.
Back to top
View user's profile Send private message
Manuuu
n00b
n00b


Joined: 12 Feb 2008
Posts: 14

PostPosted: Tue Feb 12, 2008 9:25 am    Post subject: Reply with quote

ça c'est gentil

à mon avis c'est juste un param :D

http://www.fridim.org/friwiki/SuiviLDAP
Back to top
View user's profile Send private message
geekounet
Bodhisattva
Bodhisattva


Joined: 11 Oct 2004
Posts: 3772
Location: Wellington, Aotearoa

PostPosted: Tue Feb 12, 2008 9:30 am    Post subject: Reply with quote

Salut et bienvenue !
Peux-tu mettre ton titre du topic en conformité avec les conventions de notre forum s'il te plait ? Merci :)
Back to top
View user's profile Send private message
Manuuu
n00b
n00b


Joined: 12 Feb 2008
Posts: 14

PostPosted: Tue Feb 12, 2008 9:34 am    Post subject: Reply with quote

j'ai cru avoir trouvé :( avec :


LDAPDoAuth on "dc=ldap,dc=mydomain,dc=com"
LDAPDoUIDLookups on "ou=France,ou=Peoples,dc=ldap,dc=mydomain,dc=com"
LDAPDoGIDLookups on "cn=ftp,ou=Groups,dc=ldap,dc=mydomain,dc=com"

Mais si je supprime l'user de ftp ça marche quand même, mince
Back to top
View user's profile Send private message
Manuuu
n00b
n00b


Joined: 12 Feb 2008
Posts: 14

PostPosted: Tue Feb 12, 2008 9:54 am    Post subject: Reply with quote

pour info voilà ce que le serveur me repond :


Code:

Feb 12 10:52:47 ns24120 slapd[887]: conn=254 fd=16 ACCEPT from IP=xx.xx.xx.xx:58029 (IP=0.0.0.0:636)
Feb 12 10:52:47 ns24120 slapd[887]: conn=254 fd=16 TLS established tls_ssf=256 ssf=256
Feb 12 10:52:47 ns24120 slapd[887]: conn=254 op=0 BIND dn="" method=128
Feb 12 10:52:47 ns24120 slapd[887]: conn=254 op=0 RESULT tag=97 err=0 text=
Feb 12 10:52:47 ns24120 slapd[887]: conn=254 op=1 SRCH base="cn=ftp,ou=Groups,dc=ldap,dc=mydomain,dc=com" scope=2 deref=0 filter="(&(memberUid=monuser)(objectClass=posixGroup))"
Feb 12 10:52:47 ns24120 slapd[887]: conn=254 op=1 SRCH attr=uid uidNumber gidNumber homeDirectory loginShell
Feb 12 10:52:47 ns24120 slapd[887]: <= bdb_equality_candidates: (memberUid) not indexed
Feb 12 10:52:47 ns24120 slapd[887]: conn=254 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Feb 12 10:52:47 ns24120 slapd[887]: conn=254 op=2 SRCH base="cn=ftp,ou=Groups,dc=ldap,dc=mydomain,dc=com" scope=2 deref=0 filter="(&(memberUid=monuser)(objectClass=posixGroup))"
Feb 12 10:52:47 ns24120 slapd[887]: conn=254 op=2 SRCH attr=gidNumber cn
Feb 12 10:52:47 ns24120 slapd[887]: <= bdb_equality_candidates: (memberUid) not indexed
Feb 12 10:52:47 ns24120 slapd[887]: conn=254 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Feb 12 10:52:47 ns24120 slapd[887]: conn=254 fd=16 closed (connection lost)


et j'ai bien un memberId = monuser dans mon groupe FTP

Il a l'air de trouver une correspondance et, voici la reponse dans filezilla :

Code:
Response:   220 ProFTPD 1.3.1rc2 Server (ProFTPD Default Installation) [xx.xx.xx.xx]
Command:   USER monuser
Error:   Disconnected from server
Error:   Unable to connect!
Status:   Waiting to retry... (5 retries left)


et dans /var/log/message :

Code:

FTP session opened.


et c'est tout ....
Back to top
View user's profile Send private message
Manuuu
n00b
n00b


Joined: 12 Feb 2008
Posts: 14

PostPosted: Tue Feb 12, 2008 2:59 pm    Post subject: Reply with quote

en fait mon probleme est la création d'un filtre :

Trouver tous les posixAccount (nom de l'objet) qui sont membres du groupe "ftp" (c'est un posixGroup / ftp est un cn)
Back to top
View user's profile Send private message
X-Guardian
Tux's lil' helper
Tux's lil' helper


Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France

PostPosted: Tue Feb 12, 2008 5:15 pm    Post subject: Reply with quote

Salut,

J'ai passé un peu de temps au boulot, mais je n'ai pas réussi à avoir ce que tu voulais.

J'ai appris qu'il y avait des schemas pour ldap de proftpd et pure-ftpd.

L'ebuild de proftpd ne contient pas de schema, celui de pure-ftp si.
J'ai donc installé pure-ftpd et j'ai essayé d'utiliser son schéma (après l'avoir débuggué, il y a une erreur ligne 64 je crois, un mot répété 2 fois ... version stable bien entendue :p)
Mais je n'ai pas eu de succès, LDAP me refuse l'emploie de ce schéma, il me manquerait quelque chose, et je ne vois pas quoi. (schéma qui date de 2002 d'après les commentaires)

Je reverrais demain, faut que je me plonge plus en avant dans la doc, là le ftp que j'ai mis en place (avec une recherche sur "ou=users,dc=mondomaine,dc=quelquechose") permettait à l'utilisateur de se ballader sur la machine hôte.
Mon but n'est pas de mettre en place un ftp fonctionnel et sécurisé, juste de voir l'interaction avec OpenLDAP mais tant qu'à faire, çà pourrait peut-être servir à certains collègues.

@+,
Guile.
Back to top
View user's profile Send private message
Manuuu
n00b
n00b


Joined: 12 Feb 2008
Posts: 14

PostPosted: Tue Feb 12, 2008 5:52 pm    Post subject: Reply with quote

Salut et merci de ton aide, en fait j'ai pas mal avancé aussi de mon côté.

Je ne veux pas utiliser de schemas, je veux gérer directement via des groupes.

donc je créé des utilisateurs, des groupes et j'assigne les premiers aux deuxiemes. Ensuite, j'indique à mon appli d'aller verifier dans ce groupe les utilisateurs et c'est là que ça coince. Dans Apache, j'écris ceci :

Code:

LDAPTrustedCA  /etc/ssl/cacert.pem
LDAPTrustedCAType BASE64_FILE
<Location /ldap-status>
Order deny,allow
Deny from All
AuthName "Company.com Intranet"
AuthType Basic
AuthLDAPUrl ldaps://ldap.company.com/ou=Peoples,dc=ldap,dc=company,dc=com?uid
AuthLDAPGroupAttribute memberUid
AuthLDAPGroupAttributeIsDN off
Require ldap-group cn=ftp,ou=Groups,dc=ldap,dc=company,dc=com
Require ldap-attribute gidNumber=1001
Satisfy any
</Location>

et là ça va plus. Il n'en a rien à faire du groupe .... je peux me logger avec tout le monde. Pareil avec proftpd.
Si je passe directement, dans l'url du serveur le groupe, ça coince completement, je n'ai plus accès à rien.
Back to top
View user's profile Send private message
DidgeriDude
Guru
Guru


Joined: 30 Jan 2005
Posts: 349

PostPosted: Tue Feb 12, 2008 8:26 pm    Post subject: Reply with quote

Et la directive DefaultRoot ne t'aiderait-elle pas ?
Back to top
View user's profile Send private message
X-Guardian
Tux's lil' helper
Tux's lil' helper


Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France

PostPosted: Wed Feb 13, 2008 7:52 am    Post subject: Reply with quote

Salut,

DigeriDude -> Exact, c'était bien l'option qu'il me manquait.
Je l'ai vu dans pas mal de conf, mais je n'avais pas essayé, me concentrant sur l'authentification.

Bon, je retourne à cette histoire ...
J'aimerais vraiment arriver à faire de tout concernant l'authentification centralisée avec LDAP.
Visiblement les LDAPs sont assez mis de coté par rapport au BDD comme mysql ... dommage. (Je parle en terme de documentation exhaustive, détaillée, ...)

@+,
Guile.
Back to top
View user's profile Send private message
Manuuu
n00b
n00b


Joined: 12 Feb 2008
Posts: 14

PostPosted: Wed Feb 13, 2008 9:39 am    Post subject: Reply with quote

X-Guardian, t'as pas un skype ? :)

autant qu'on le fasse ensemble !
Back to top
View user's profile Send private message
DidgeriDude
Guru
Guru


Joined: 30 Jan 2005
Posts: 349

PostPosted: Wed Feb 13, 2008 11:18 am    Post subject: Reply with quote

X-Guardian wrote:
Bon, je retourne à cette histoire ...
J'aimerais vraiment arriver à faire de tout concernant l'authentification centralisée avec LDAP.
Visiblement les LDAPs sont assez mis de coté par rapport au BDD comme mysql ... dommage. (Je parle en terme de documentation exhaustive, détaillée, ...)

Je n'ai pas tout saisi : ça marche pour ton FTP ?
Si oui, pourrais-tu reposer exactement ici ce que tu cherches à faire d'autre avec LDAP parce que là, j'avoue ne plus trop savoir où tu en es !! :wink:
Back to top
View user's profile Send private message
X-Guardian
Tux's lil' helper
Tux's lil' helper


Joined: 25 Jan 2005
Posts: 133
Location: Templeuve, Nord de la France

PostPosted: Wed Feb 13, 2008 12:45 pm    Post subject: Reply with quote

Salut,

DidgeriDude -> Tout comme Manuuu :
Créer un groupe "FTP" dans OpenLDAP avec une liste d'utilisateurs associés.
ProFTPd ne doit accepter que les utilisateurs appartenant au groupe "FTP" puis ensuite vérifier leur login/mdp.



Par défault, j'ai mis çà :
Code:

LDAPServer LDAP.mondomaine.fr:389
LDAPDoAuth on "ou=utilisateurs,dc=mondomaine,dc=fr"
LDAPDNInfo cn=admin,dc=mondomaine,dc=fr

=> ProFTPd autorise donc tous mes utilisateur.



Puis j'ai essayé avec un schéma "FTP" (celui livré avec Pure-FTPd)
Code:

LDAPServer LDAP.mondomaine.fr:389
LDAPDoAuth on "ou=utilisateurs,dc=mondomaine,dc=fr" "(FTPStatus=TRUE)"
LDAPDNInfo cn=admin,dc=mondomaine,dc=fr

=> Seuls les utilisateurs avec l'option FTPStatus attribué et activé (TRUE) peuvent se logguer.
Cela ne va pas, il faut modifier alors chaque compte qui nous intéresse.



Autre solution :
Code:

LDAPServer LDAP.mondomaine.fr:389
LDAPDoAuth on "cn=Ftp,ou=groupes,dc=pacthainaut,dc=fr" "(&(memberUid=%v)(objectClass=posixGroup))"
LDAPDNInfo cn=admin,dc=mondomaine,dc=fr

=> Moi, ProFTPd me rejette (ne trouve pas l'uid dans "FTP" ... en même temps c'est normal), pour Manuuu apparement çà passe, mais le loggue ne se dait pas (...)

Bref, on en est là :)

@+,
Guile.

Edit : comme on peut le voir, ProFTPd doit faire 2 filtres à deux endroits différents :
* Sur "cn=ftp,ou=groupes,dc=mondomaine,dc=fr" pour vérifier si l'utilisateur est bien dans la liste des "memberUid".
* Sur "ou=utilisateurs,dc=mondomaine,dc=fr" pour rechercher si le login et le mdp sont correctes.
Et çà, je ne sais pas du tout comment demander à ProFTPd de le faire, voir s'il en est capable aujourd'hui.
Back to top
View user's profile Send private message
DidgeriDude
Guru
Guru


Joined: 30 Jan 2005
Posts: 349

PostPosted: Wed Feb 13, 2008 9:18 pm    Post subject: Reply with quote

Tu peux peut-être contourner le problème avec DefaultRoot en chrootant les gus qui ne sont pas dans le groupe ftp dans un dossier vide...
Bon OK, c'est un hack à la noix...

Concernant l'option FTPStatus=TRUE, il est vrai qu'il faut modifier les comptes un par un, mais cela me parait relativement faisable via un script qui génère un fichier .ldif qui va bien et un petit coup de ldapmodify devrait conclure cette histoire.
C'est encore un hack, mais moins à la noix que le précédent, et cela semble résoudre le problème !
Back to top
View user's profile Send private message
DidgeriDude
Guru
Guru


Joined: 30 Jan 2005
Posts: 349

PostPosted: Wed Feb 13, 2008 9:38 pm    Post subject: Reply with quote

Une autre idée : LDAPDoGIDLookups.
J'avoue ne pas avoir regardé en détails mais il semble que cela permettrait d'affiner sérieusement les requêtes au serveur LDAP !
Back to top
View user's profile Send private message
Manuuu
n00b
n00b


Joined: 12 Feb 2008
Posts: 14

PostPosted: Thu Feb 14, 2008 10:42 am    Post subject: Reply with quote

salut et merci de tes reponses :

LDAPDoGIDLookups ne marche pas pour moi
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum