SOLVED vsftpd + AD авторизация
Всем доброго дня.
возникла ошибка и даже не знаю с какой стороны к ней подойти.
[22.09.2010 20:18:16] -- Начало сессии
[22.09.2010 20:18:16] <- 220 (vsFTPd 2.2.2)
[22.09.2010 20:18:16] -> USER ***
[22.09.2010 20:18:16] <- 331 Please specify the password.
[22.09.2010 20:18:16] -> PASS *****
[22.09.2010 20:18:16] <- 230 Login successful.
[22.09.2010 20:18:16] -> TYPE I
[22.09.2010 20:18:16] <- 200 Switching to Binary mode.
[22.09.2010 20:18:16] -> PASV
[22.09.2010 20:18:16] <- 227 Entering Passive Mode (10,7,1,220,88,167).
[22.09.2010 20:18:16] -> LIST /obmen
[22.09.2010 20:18:16] <- 150 Here comes the directory listing.
[22.09.2010 20:18:16] <- 226 Directory send OK.
[22.09.2010 20:18:16] -> PASV
[22.09.2010 20:18:16] <- 227 Entering Passive Mode (10,7,1,220,50,158).
[22.09.2010 20:18:16] -> LIST /obmen
[22.09.2010 20:18:16] <- 150 Here comes the directory listing.
[22.09.2010 20:18:16] <- 226 Directory send OK.
[22.09.2010 20:18:16] -> TYPE I
[22.09.2010 20:18:16] <- 200 Switching to Binary mode.
[22.09.2010 20:18:16] -> SIZE /obmen/repl_000_001_1.rar
[22.09.2010 20:18:16] <- 550 Could not get file size.
[22.09.2010 20:18:16] -> PASV
[22.09.2010 20:18:16] <- 227 Entering Passive Mode (10,7,1,220,70,98).
[22.09.2010 20:18:16] -> STOR /obmen/repl_000_001_1.st
[22.09.2010 20:18:16] <- 150 Ok to send data.
[22.09.2010 20:18:16] <- 226 Transfer complete.
[22.09.2010 20:18:16] -> RNFR /obmen/repl_000_001_1.st
[22.09.2010 20:18:16] <- 350 Ready for RNTO.
[22.09.2010 20:18:16] -> RNTO /obmen/repl_000_001_1.rar
[22.09.2010 20:18:16] <- 250 Rename successful.
[22.09.2010 20:18:16] -> PASV
[22.09.2010 20:18:16] <- 227 Entering Passive Mode (10,7,1,220,21,142).
[22.09.2010 20:18:16] -> LIST /obmen
[22.09.2010 20:18:16] <- 150 Here comes the directory listing.
[22.09.2010 20:18:16] <- 226 Directory send OK.
[22.09.2010 20:18:16] -> TYPE I
[22.09.2010 20:18:16] <- 200 Switching to Binary mode.
[22.09.2010 20:18:16] -> SIZE /obmen/repl_000_001_1.crc
[22.09.2010 20:18:16] <- 550 Could not get file size.
[22.09.2010 20:18:16] -> PASV
[22.09.2010 20:18:16] <- 227 Entering Passive Mode (10,7,1,220,124,94).
[22.09.2010 20:18:16] -> STOR /obmen/repl_000_001_1.st
[22.09.2010 20:18:16] <- 150 Ok to send data.
[22.09.2010 20:28:16] <- 421 Data timeout. Reconnect. Sorry.
[22.09.2010 20:28:16] -- Конец сессии
ftp настроен на авторизацию и локальных юзеров
vsftpd.conf
listen=YES
chroot_local_user=YES
force_dot_files=YES
vsftpd_log_file=/var/log/vsftpd.log
syslog_enable=YES
dual_log_enable=YES
log_ftp_protocol=YES
virtual_use_local_privs=YES
pam_service_name=ftp
session_support=YES
local_enable=YES
guest_enable=NO
guest_username=virt_ftp
user_sub_token=$USER
local_root=/ftp/work
chroot_list_enable=YES
user_config_dir=/etc/vsftpd/user_conf
pam.d/ftp
auth required pam_nologin.so no_warn
auth sufficient pam_winbind.so krb5_auth require_membership_of=FTP
auth sufficient pam_winbind.so krb5_auth require_membership_of=administrators
auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
auth required pam_unix.so nullok_secure try_first_pass
account required pam_nologin.so
account sufficient pam_winbind.so krb5_auth
account required pam_unix.so
session required pam_permit.so
Прошу помощи, ну или хотя бы намекнуть откуда копать....
- Для комментирования войдите или зарегистрируйтесь
Намекаю
В vsftpd.conf
idle_session_timeout = 600 (Default)
попробуй поменять
__________________________________
Главное не забыть mount /dev/hands
Спасибо. Вроди с одной
Спасибо. Вроди с одной проблемой справилсь но теперь возникает другая
winbindd[29801]: [2010/09/30 17:44:23, 0] nsswitch/winbindd_pam.c:winbindd_raw_kerberos_login(634)
winbindd[29801]: winbindd_raw_kerberos_login: ads_verify_ticket failed: NT_STATUS_LOGON_FAILURE
А документацию вы
А документацию вы принципиально не читаете?
покажи cat
auth sufficient /usr/local/lib/pam_winbind.so krb5_auth
account sufficient /usr/local/lib/pam_winbind.so krb5_auth
проверь библиотеки pam_winbind.so у тебя она присудствует?
покажи вывод klist.
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.
Вся фишка в том что
Вся фишка в том что авторизация и ФТП и самбы через АД все это работает.. пользователя пускает, он работает с фтп, но время от времени выскакивает в одной из программ для которых создан фтп такая ошибка, и в этот момент одна сессия отваливается, все остальные проходят нормальано.
Выглядит это так.
vsftpd[29498]: pam_winbind(ftp:setcred): user 'efarma' OK
vsftpd[29498]: pam_winbind(ftp:setcred): pam_putenv: delete non-existent entry; KRB5CCNAME
vsftpd[29501]: pam_winbind(ftp:auth): getting password (0x000000c0)
vsftpd[29501]: pam_winbind(ftp:auth): user 'efarma' OK
vsftpd[29501]: pam_winbind(ftp:auth): user 'efarma' granted access
vsftpd[29501]: pam_winbind(ftp:account): user 'efarma' OK
vsftpd[29501]: pam_winbind(ftp:account): user 'efarma' granted access
vsftpd[29501]: [efarma] OK LOGIN: Client "10.7.1.215"
vsftpd[29503]: [efarma] FTP response: Client "10.7.1.215", "230 Login successful."
vsftpd[29503]: [efarma] FTP command: Client "10.7.1.215", "TYPE I"
vsftpd[29503]: [efarma] FTP response: Client "10.7.1.215", "200 Switching to Binary mode."
vsftpd[29503]: [efarma] FTP command: Client "10.7.1.215", "SIZE /efarma/obmen_test/text.tmp"
vsftpd[29503]: [efarma] FTP response: Client "10.7.1.215", "213 2100"
vsftpd[29501]: pam_winbind(ftp:setcred): user 'efarma' OK
vsftpd[29501]: pam_winbind(ftp:setcred): pam_putenv: delete non-existent entry; KRB5CCNAME
vsftpd[29504]: pam_winbind(ftp:auth): getting password (0x000000c0)
vsftpd[29504]: pam_winbind(ftp:auth): user 'efarma' OK
winbindd[14429]: [2010/09/30 17:03:40, 0] nsswitch/winbindd_pam.c:winbindd_raw_kerberos_login(634)
winbindd[14429]: winbindd_raw_kerberos_login: ads_verify_ticket failed: NT_STATUS_LOGON_FAILURE
vsftpd[29504]: pam_winbind(ftp:auth): request failed: Logon failure, PAM error was Authentication failure (7), NT error was NT_STATUS_LOGON_FAILURE
vsftpd[29504]: pam_winbind(ftp:auth): user 'efarma' denied access (incorrect password or invalid membership)
vsftpd[29504]: pam_winbind(ftp:auth): getting password (0x000000c0)
vsftpd[29504]: pam_winbind(ftp:auth): request failed
vsftpd[29504]: pam_unix(ftp:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=efarma rhost=10.7.1.215 user=efarma
vsftpd[29504]: [efarma] FAIL LOGIN: Client "10.7.1.215"
vsftpd[29506]: pam_nologin(ftp:auth): unknown option: no_warn
vsftpd[29506]: pam_winbind(ftp:auth): getting password (0x000000c0)
vsftpd[29506]: pam_winbind(ftp:auth): user 'efarma' OK
vsftpd[29506]: pam_winbind(ftp:auth): user 'efarma' granted access
vsftpd[29506]: pam_winbind(ftp:account): user 'efarma' OK
vsftpd[29506]: pam_winbind(ftp:account): user 'efarma' granted access
vsftpd[29506]: [efarma] OK LOGIN: Client "10.7.1.215"
vsftpd[29508]: [efarma] FTP response: Client "10.7.1.215", "230 Login successful."
vsftpd[29508]: [efarma] FTP command: Client "10.7.1.215", "TYPE I"
vsftpd[29508]: [efarma] FTP response: Client "10.7.1.215", "200 Switching to Binary mode."
vsftpd[29508]: [efarma] FTP command: Client "10.7.1.215", "SIZE /efarma/obmen_test/text.tmp"
vsftpd[29508]: [efarma] FTP response: Client "10.7.1.215", "213 2100"
Библиотека /lib/security/pam_winbind.so присутствует
а вот klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
получи заново билетик
получи заново билетик кербероса!
kinit -p administrator
и проверяем сразу ldapwhoami -h твой.домен
klist проверяем, должнобыть вроде этого.
klist Credentials cache: FILE:/tmp/krb5cc_0 Principal: AV-011$@UNIX.RU Issued Expires Principal Sep 7 06:03:00 >>>Expired<<< krbtgt/UNIX.RU@UNIX.RU Sep 7 06:03:03 >>>Expired<<< s895nt12$@UNIX.RU av-011#Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.
ключик обновил. но с obmen #
ключик обновил. но с obmen # ldapwhoami -h sou.ru
ldap_parse_result: Protocol error (2)
additional info: 0000203D: LdapErr: DSID-0C090C7D, comment: Unknown extended request OID, data 0, vece
Result: Protocol error (2)
а что это ?PS. Какой вопрос
а что это ?
PS. Какой вопрос такой ответ.
Это такие дурацкие тексты,
Это такие дурацкие тексты, которые обычно пишут разработчики программы для вменяемых людей с целью уменьшения флуда и количества банов на форуме.
Обычно в них таки написано, как настраивать и дебажить программу, и что читать и куда писать, если оно не работает .
Судя по твоему ответу, ты мало того что ее не читал, так с какого то, имхо, думаешь что тут форум техподдержки.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
SysA написал(а): Unit_a
может хватит нести чушь и флудить....
Если помочь не чем можно просто промолчать, а не посылать в мануалы....
Unit_a написал(а): SysA
Для тех, кто в танке - это был риторический вопрос,.. и даже не вопрос, а типа намёк... :)
это была попытка юмора :)
это была попытка юмора :)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
ДА мы сюда приходим не
ДА мы сюда приходим не Петросянов изображать....
Тема довольно редкая по сути своей, я нормлаьных статей в инете по настройке ftp + Active Dir не нашел. А собирал из тех что есть по частям и вникал....
Документация к сожалению не дает ответа на ошибки и недочеты в авторизации...
я нормлаьных статей в инете
покажите krb5.conf и конфиг ладп-клиента, если делаете через пам и кереберос.
Доки по настройке ААА в АД для nix клиентов лежат на течнете
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
SOLVED
Временно смею отрапортовать что Проблема решена. По крайней мере пока 2-й день полет ftp нормлаьный.
отдельное спасибо bagas.
Склоняюсь к криво работающей winbind в старой версии самбы. После обновления до последней net-fs/samba-3.4.9 Проблема самоустранилась.
Не вооруженным взглядом заметно что разрабы поработали над винбинд авторизацией. Появился новый файл настроек /etc/security/pam_winbind.conf, без которого винбинд отказывается работать вообще.