SSSDを使用したvsFTPd認証
現在、SSSDを使用してActiveDirectoryを介して認証するFTPサーバーをセットアップしようとしています。
私の設定ファイルは次のとおりです。
/ etc/vsftpd/vsftpd:
[root@StudentOrgFTP vsftpd]# cat vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
pam_service_name=vsftpd
userlist_enable=YES
userlist_log=YES
tcp_wrappers=NO
chroot_local_user=YES
session_support=YES
/ etc/sssd/sssd.conf
[sssd]
domains = WORK
services = nss, pam
config_file_version = 2
[pam]
offline_credentials_expiration = 5
[nss]
[domain/WORK]
description = Work domains
enumerate = false
id_provider = ldap
auth_provider = ldap
chpass_provider = none
access_provider = ldap
ldap_pwd_policy = none
ldap_schema = ad
ldap_user_name = sAMAccountName
ldap_user_object_class = person
ldap_group_object_class = group
ldap_id_mapping = True
case_sensitive = false
ldap_id_mapping = True
override_Shell = /bin/bash
override_homedir = /srv/student_ftp/%u
# Connection Properties
ldap_uri = ldaps://xxxxx.xxxxxxxx.xxx
# Temporary measure until I can get a hold of a proper certificate
ldap_tls_reqcert = never
ldap_search_base = dc=xxxxxxxx,dc=xxx
ldap_group_search_base = OU=students,dc=xxxxxxxx,dc=xxx
ldap_default_bind_dn = CN=<AD User>,OU=Users,OU=Labs,dc=xxxxxxxx,dc=xxx
ldap_default_authtok_type = password
ldap_default_authtok = <password>
ldap_access_filter = (&(objectClass=person)(ou=students,dc=xxxxxxxx,dc=xxx))
/ etc/pam.d/vsftpd
auth required pam_env.so
auth sufficient pam_sss.so
ce with pam_winbind.so
account sufficient pam_sss.so
ce with pam_winbind.so
session required pam_loginuid.so
session optional pam_keyinit.so force revoke
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpuse
rs onerr=succeed
auth required pam_shells.so
auth include password-auth
account include password-auth
session required pam_loginuid.so
session include password-auth
SSSDをこの構成で動作させることができました。「idusername」または「getentpasswdusername」を実行すると、両方とも正しい情報で返されますが、一般的なlinuxの「ftp」コマンドを使用するとvsftpは正しく認証します。
編集:/var/log/secure出力:
Jan 27 04:32:36 StudentOrgFTP vsftpd: vsftpd: PAM (vsftpd) illegal module type: ce
Jan 27 04:32:36 StudentOrgFTP vsftpd: PAM pam_parse: expecting return value; [...with]
Jan 27 04:32:36 StudentOrgFTP vsftpd: PAM (vsftpd) illegal module type: ce
Jan 27 04:32:36 StudentOrgFTP vsftpd: PAM pam_parse: expecting return value; [...with]
Jan 27 04:32:36 StudentOrgFTP vsftpd: PAM (vsftpd) illegal module type: rs
Jan 27 04:32:36 StudentOrgFTP vsftpd: PAM pam_parse: expecting return value; [...onerr=succeed]
Jan 27 04:32:36 StudentOrgFTP vsftpd: PAM (vsftpd) no module name supplied
Jan 27 04:32:36 StudentOrgFTP vsftpd: pam_sss(vsftpd:auth): authentication success; logname= uid=0 euid=0 tty=ftp ruser=some_username rhost=localhost user=some_username
Jan 27 04:32:36 StudentOrgFTP vsftpd: pam_sss(vsftpd:account): Access denied for user some_username: 6 (Permission denied)
Jan 27 04:32:36 StudentOrgFTP vsftpd: pam_sss(vsftpd:account): Access denied for user some_username: 6 (Permission denied)
最初にシェル設定を確認し、次の行を自分の/ etc/sss/sssd.conf:に追加しました。
[domain/example.org]
override_Shell = /sbin/rbash
しかし、これは問題を解決しませんでした。
行をコメントアウトした後
account [default=bad success=ok user_unknown=ignore] pam_sss.so
in / etc/pam.d/common-auth ActiveDirectoryユーザーはADアカウントでログインできます。
ただし、この設定は、vsftpdだけでなく多くのログインサービスに影響します。そのため、その行からコメントを削除し(元のバージョンに戻します)、代わりにvsftpdのpam構成を変更しました。
/ etc/pam.d/vsftpd:
# Standard behaviour for ftpd(8).
auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
# Note: vsftpd handles anonymous logins on its own. Do not enable pam_ftp.so.
# Standard pam includes
##@include common-account
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so
account requisite pam_deny.so
account required pam_permit.so
account sufficient pam_localuser.so
@include common-session
@include common-auth
auth required pam_shells.so
シェルの欠落が問題であるとは思えません。設定ファイルは、override_Shellディレクティブを使用してシェルのローカルオーバーライドを指定しています。
/ var/log/secure(またはディストリビューションの同等のもの)にエラーがありますか? [pam]セクションと[domain]セクションのdebug_levelをオンにして、何か興味のあるものがあるかどうかを確認できますか?
ADユーザーが別のPAMサービス(おそらくsu)を介して認証できるかどうかを確認することも、問題がSSSDにあるのかvsftpdにあるのかを特定するのに役立つ場合があります。
私の推測では、問題は
auth required pam_shells.so
/etc/pam.d/vsftpd構成ファイルの行。これには、すべてのユーザーが/ etc/shellsにリストされているデフォルトのシェルを持っている必要があり、AD認証がそれを正しく提供していない可能性があります。
その行をコメントアウトするだけでテストし、それが機能するかどうかを判断し、そのテストによって提供されるセキュリティが必要かどうか、ADおよびSSSDで機能させる方法を見つけます。
ユーザーシェルを確認してください!シェルがリストされていない場合(chsh -l)、ここで/etc/pam.d/vsftpdが機能します。
ユーザーをデフォルトの/usr/bin/kshから/bin/kshに変更しましたが、他の変更は必要ありませんでした。