proftpdでOpenLDAP認証を使う(Ubuntu Server 14.04)

 2014-09-15
新サーバはESXi上で稼働しているので
OpenLDAPサーバを立てた。(これについてはまた別途)

というわけでproftpdもLDAPでユーザ認証したいのだが
Ubuntu Server 14.04での方法を
メモ代わりに書いておく。
(12.04と内容に違いはない様子)

【必要パッケージ】
 proftpd-basic
 proftpd-mod-ldap

 新規導入時は、proftpd-mod-ldapだけ入れれば
 依存関係で勝手にproftpd-basicも引っ張ってくる。


【proftpd.confの設定】
 なんかしらんがmodule系は別のconfファイルになってるので
 まずそれを読ませましょう。
[proftpd.conf]

#
# Alternative authentication frameworks
#
Include /etc/proftpd/ldap.conf ←ここのコメントアウトを解除
#Include /etc/proftpd/sql.conf

 あとは ldap.conf 側で設定・・・・と思いきや
 それだけだとだめで、もう一ヶ所セットする必要がある
[proftpd.conf]

# Uncomment this if you are using NIS or LDAP via NSS to retrieve passwords:
PersistentPasswd off ←ここのコメントアウトを解除


 親ファイル側で複数箇所設定しろとか分かり辛すぎる
 明らかに「分ければOKという思考停止」的な設計ミスに思う
 10年以上debian系使っているが、今回初めて「腐ってると」感じてしまった。


【ldap.confの設定】
 ldap読みにいく設定するだけだが
[ladp.conf]

LDAPServer ldap://ldapサーバのアドレス/
LDAPBindDN "cn=admin,dc=example,dc=net" "adminのパスワード" (*注意)
LDAPUsers "ou=people,dc=example,dc=net" (uid=%u) (uidNumber=%u)

 (*注意) LDAPBindDN について
 デフォルトテンプレートに書いてあるので、最初は仕方なく書いたが
 セキュリティ上望ましくない気がする。というか、これ不要じゃないの?
 proftpdのDirective listにも、そんな項目存在しないしさぁ。
 と言うわけで、削除してみたら、普通に動いた。
 まだ色々試してないので、ホントに削除していいのかわからんけど。

 あと LDAPUsers と言うのは、LDAPツリーのどこからユーザー検索するかという設定なので
 当然「people」の部分は自分で設定した奴に変えてください。
 ユーザーを複数に区切ってないなら、ぶっちゃけou自体を消してもいいかもしれない。

 ちなみに LDAPGroups というのも設定可能。
 LDAPツリーのどこからグループ検索以下略、なのだけど
 設定しなくても動いた。つかテンプレートにも記載がない。


 以上。sambaも設定しないとなぁ。
スポンサーサイト
タグ :
コメント












管理者にだけ表示を許可する
トラックバック
トラックバックURL:

http://silver0480.blog80.fc2.com/tb.php/390-1f4d200c

≪ トップページへこのページの先頭へ  ≫