我目前正在尝试设置一个使用 SSSD 通过 Active Directory 进行身份验证的 FTP 服务器。
我的配置文件如下:
在 /etc/vsftpd/vsftpd 中:
[root@StudentOrgFTP vsftpd]# cat vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
pam_service_name=vsftpd
userlist_enable=YES
userlist_log=YES
tcp_wrappers=NO
chroot_local_user=YES
session_support=YES
/etc/sssd/sssd.conf
[sssd]
domains = WORK
services = nss, pam
config_file_version = 2
[pam]
offline_credentials_expiration = 5
[nss]
[domain/WORK]
description = Work domains
enumerate = false
id_provider = ldap
auth_provider = ldap
chpass_provider = none
access_provider = ldap
ldap_pwd_policy = none
ldap_schema = ad
ldap_user_name = sAMAccountName
ldap_user_object_class = person
ldap_group_object_class = group
ldap_id_mapping = True
case_sensitive = false
ldap_id_mapping = True
override_shell = /bin/bash
override_homedir = /srv/student_ftp/%u
# Connection Properties
ldap_uri = ldaps://xxxxx.xxxxxxxx.xxx
# Temporary measure until I can get a hold of a proper certificate
ldap_tls_reqcert = never
ldap_search_base = dc=xxxxxxxx,dc=xxx
ldap_group_search_base = OU=students,dc=xxxxxxxx,dc=xxx
ldap_default_bind_dn = CN=<AD User>,OU=Users,OU=Labs,dc=xxxxxxxx,dc=xxx
ldap_default_authtok_type = password
ldap_default_authtok = <password>
ldap_access_filter = (&(objectClass=person)(ou=students,dc=xxxxxxxx,dc=xxx))
/etc/pam.d/vsftpd
auth required pam_env.so
auth sufficient pam_sss.so
ce with pam_winbind.so
account sufficient pam_sss.so
ce with pam_winbind.so
session required pam_loginuid.so
session optional pam_keyinit.so force revoke
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpuse
rs onerr=succeed
auth required pam_shells.so
auth include password-auth
account include password-auth
session required pam_loginuid.so
session include password-auth
我能够让 SSSD 使用此配置工作,我可以运行“id username”或“getent passwd username”,它们都返回正确的信息,但如果我使用通用 linux“ftp”命令,vsftp 似乎无法正确验证。
编辑: /var/log/secure 输出:
Jan 27 04:32:36 StudentOrgFTP vsftpd: vsftpd: PAM (vsftpd) illegal module type: ce
Jan 27 04:32:36 StudentOrgFTP vsftpd: PAM pam_parse: expecting return value; [...with]
Jan 27 04:32:36 StudentOrgFTP vsftpd: PAM (vsftpd) illegal module type: ce
Jan 27 04:32:36 StudentOrgFTP vsftpd: PAM pam_parse: expecting return value; [...with]
Jan 27 04:32:36 StudentOrgFTP vsftpd: PAM (vsftpd) illegal module type: rs
Jan 27 04:32:36 StudentOrgFTP vsftpd: PAM pam_parse: expecting return value; [...onerr=succeed]
Jan 27 04:32:36 StudentOrgFTP vsftpd: PAM (vsftpd) no module name supplied
Jan 27 04:32:36 StudentOrgFTP vsftpd: pam_sss(vsftpd:auth): authentication success; logname= uid=0 euid=0 tty=ftp ruser=some_username rhost=localhost user=some_username
Jan 27 04:32:36 StudentOrgFTP vsftpd: pam_sss(vsftpd:account): Access denied for user some_username: 6 (Permission denied)
Jan 27 04:32:36 StudentOrgFTP vsftpd: pam_sss(vsftpd:account): Access denied for user some_username: 6 (Permission denied)
答案1
我首先检查了 shell 设置,并将以下行添加到我的/etc/sss/sssd.conf:
[domain/example.org]
override_shell = /sbin/rbash
但这并不能解决问题。
注释掉以下行之后
account [default=bad success=ok user_unknown=ignore] pam_sss.so
在/etc/pam.d/common-auth活动目录用户可以使用他们的 AD 帐户登录。
但此设置影响的登录服务不仅限于 vsftpd。因此,我删除了该行的注释(返回到原始版本),并改为更改 vsftpd 的 pam 配置:
/etc/pam.d/vsftpd:
# Standard behaviour for ftpd(8).
auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
# Note: vsftpd handles anonymous logins on its own. Do not enable pam_ftp.so.
# Standard pam includes
##@include common-account
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so
account requisite pam_deny.so
account required pam_permit.so
account sufficient pam_localuser.so
@include common-session
@include common-auth
auth required pam_shells.so
答案2
我怀疑缺少的 shell 是问题所在,配置文件使用 override_shell 指令为 shell 指定了本地覆盖。
您是否在 /var/log/secure(或您的发行版的等效文件)中看到任何错误?您可以打开 [pam] 和 [domain] 部分的 debug_level 并查看是否有任何有趣的内容吗?
检查 AD 用户是否能够通过另一个 PAM 服务(可能是 su)进行身份验证也可能有助于查明问题出在 SSSD 还是 vsftpd 上。
答案3
我猜问题在于
auth required pam_shells.so
配置文件中的行/etc/pam.d/vsftpd。这要求所有用户都有一个在 /etc/shells 中列出的默认 shell,而您的 AD 身份验证可能无法正确提供该 shell。
我会通过简单地注释掉那一行来进行测试,然后如果它有效,则决定是否需要该测试提供的安全性,如果需要,则弄清楚如何使其与 AD 和 SSSD 一起工作。
答案4
检查用户 shell!如果未列出 shell(chsh -l),则说明 开始/etc/pam.d/vsftpd起作用。
我们将用户从默认用户更改/usr/bin/ksh为/bin/ksh,无需进行其他更改。