|
|
www.lissyara.su
—> статьи
—> FreeBSD
—> программы
—> ProFTPd + LDAP
ProFTPd с авторизацией пользователей в OpenLDAP
Автор: aleksey.kravchenko.
В данной статье будет рассматриваться настройка сервера ProFTPd с авторизацией пользователей в базе данных LDAP. OpenLDAP настраивал по статье samba_pdc + ddns + dhcp - с хранением всех данных в LDAP. Секцию авторизации брал с opennet.ru. Версия FreeBSD - 6.2.
1. Установка
Установите из портов ProFTPd с поддержкой LDAP:
# cd /usr/ports/ftp/proftpd/
# make config
| Выбираем опцию LDAP.
# make install clean
# rehash
| 2. Настройка ProFTPd
Отредактируйте конфигурационный файл /usr/local/etc/proftpd.conf
ServerName "MY FTP Server"
ServerType standalone
DefaultServer on
ScoreboardFile /var/run/proftpd.scoreboard
Port 21
# Это если FTP не имеет реального IP
MasqueradeAddress 22.22.22.22
# LDAP Section
# Сервер с LDAP
LDAPServer localhost
# Пользователь в LDAP, с правом поиска
LDAPDNInfo "cn=manager,dc=mycompany,dc=local" password
# Поиск пользователей по uid
LDAPDoAuth on "ou=users,dc=mycompany,dc=local" "(&(uid=%v)(objectclass=posixAccount))"
Umask 022
MaxInstances 30
User nobody
Group nogroup
DefaultRoot ~
AllowOverwrite on
<Limit SITE_CHMOD>
DenyAll
</Limit>
| 3. Запуск и отладка
Настройте автоматический запуск ProFTPd. Для этого добавьте в файл /etc/rc.conf такую строку:
Запустите ProFTPD:
# /usr/local/etc/rc.d/proftpd start
| Проверьте наличие процесса:
# ps ax | grep ftp
60203 ?? Ss 0:00,01 proftpd: (accepting connections) (proftpd)
60207 p0 S+ 0:00,02 grep ftp
| 4. Настройка маршрутизатора
4.1 Если ваш FTP сервер находится за сервером NAT, на котором запущен natd, тогда добавьте в конфигурационный файл /etc/natd.conf такие строки:
redirect_port tcp 192.168.1.2:21 21
redirect_port udp 192.168.1.2:21 21
| 4.2 Если ваш FTP сервер находится за маршрутизатором, который подключен по PPPoE, и нат выполняет ppp,
# ps ax | grep nat
1295 ?? Ss 0:35,11 /usr/sbin/ppp -quiet -auto -nat optima
7444 p0 R+ 0:00,00 grep nat
| то добавьте в конфигурационный файл /etc/ppp/ppp.conf такие строки:
nat enable yes
nat log yes
nat same_ports yes
nat unregistered_only yes
nat port tcp 192.168.1.2:21 21
nat port udp 192.168.1.2:21 21
| Примечание! В каждой строке перед nat стоит пробел.
5. Настройка ipfw
Настройте ipfw. На маршрутизатора добавьте такие строки:
${FwCMD} add allow log tcp from any to ${IpOut} 20,21 in via ${LanOut} setup
${FwCMD} add allow log tcp from any to ${ip_lan}.2 20,21 in via ${LanOut} setup
${FwCMD} add allow log tcp from any to ${ip_lan}.2 20,21 out via ${LanIn}
| Где:
IpOut - реальный IP;
ip_lan - шаблон для внутренних адресов, например - 192.168.1;
${ip_lan}.2 - серый IP-адрес FTP - 192.168.1.2;
LanOut - внешний сетевой интерфейс;
LanIn - внутренний сетевой интерфейс.
Примечание! У каждого пользователя есть домашний каталог на севере OpenLDAP вида /home/samba/homes/username. Он и будет корневым для пользователя, при условии, что LDAP и FTP на одном сервере.
|
|
2014-07-27, lissyara
gmirror
Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9
Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту
Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis
Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
2011-08-14, zentarim
Wi-FI роутер + DHCP + DNS
Настройка Wi-Fi роутера на Freebsd 8 + DNS сервер + DHCP сервер: чтобы Wi-Fi клиенты были в одной подсети с проводными, проводные и беспроводные клиенты получали адреса автоматически по DHCP, кэширующ
2011-06-15, -ZG-
Охранная система на FreeBSD+LPT
В этой статье описана попытка реализации простой охранной системы на базе FreeBSD с подключением к ней охранных устройтсв на LPT порт и видеорегистрацией.
2011-03-13, terminus
ng_nat
Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
2011-02-20, Капитан
Nagios+Digitemp
Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
2011-02-17, Le1
Zyxel Configuration
Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
2011-02-16, fox
hast carp zfs ucarp cluster
HAST (Highly Available Storage), CARP, UCARP, ZFS, Cluster настройка и одаптация плюс личные размышления…
2011-02-04, BlackCat
Восстановление ZFS
История о том, как был восстановлен развалившийся RAIDZ ZFS-пул (перешедший в FAULTED) с помощью скотча и подручных средств. Или о том, какие приключения ожидают тех, кто не делает резервных копий.
2011-02-03, Капитан
1-Wire
Статья описывает самостоятельное изготовление контроллера DS9097 для съёма показаний с датчиков температуры DS1820 с помощью программы Digitemp.
2011-01-28, Капитан
Температура в серверной
Статья описывает построение системы наблюдения за температурой в помещении серверной с использованием программы Digitemp и выводом графиков в MRTG
2011-01-21, m4rkell
Syslog server
Как то буквально на днях, у нас завалилось, что то в еве) или не в еве не суть. Суть в том, что когда захотели снять логи с хостов esx обнаружили, что хранят эти негодяи логии только за последнии сутк
2011-01-07, lissyara
Canon/gphotofs
Монтирование цифровых фотоаппаратов Canon (PTP) как файловой системы, автоматизация этого процесса через события devd и внешние скрипты.
2010-12-13, Al
IPSec
Описание принципов работы IPSEC и способов аутентификации.
2010-12-07, manefesto
FreeBSD on flash
Было принято решении переехать на USB Flash и установить минимальный джентельменский набор для работы своего роутера. Делаем =)
|
Статистика сайта
|
Сейчас на сайте находится: 32 чел.
|
За последние 30 мин было: 76 человек
|
За сегодня было 2392 показов, 586 уникальных IP
|
|
|
|
Этот информационный блок появился по той простой причине,
что многие считают нормальным, брать чужую информацию не уведомляя автора
(что не так страшно), и не оставляя линк на оригинал и автора — что более существенно.
Я не против распространения информации — только за. Только условие простое — извольте
подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой,
незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
Если соизволите поставить автора в известность — то вообще почёт вам и уважение.
© lissyara 2006-10-24 08:47 MSK
|
|
|
Комментарии пользователей [6 шт.]