Toon posts:

[RADIUS] lokale account nodig ?

Pagina: 1
Acties:

dinsdag 1 maart 2005 09:20

Acties:

Verwijderd

Topicstarter
Ik heb al wat research gedaan alleen 1 ding is me nog steeds onduidelijk omdat ik tegenstrijdige antwoorden zie.
Ik wil op mijn linux bak een RADIUS client installeren zodat deze met de RADIUS server contact kan maken.
Het is hierbij de bedoelling om een FTP-server op te zetten zodat de ID van de gene die inlogt gecontroleerd word op de RADIUS server.
Tot zover snap ik het maar is het nu ook nodig dat die ID op de linux machine aanwezig is of controleert (RADIUS client) hij gewoon users + password op de RADIUS server ?

dinsdag 1 maart 2005 11:20

Acties:
  • riotrick
  • Registratie: Mei 2002
  • Laatst online: 24-01 10:44

riotrick

Dat ligt aan de ftp server die je gebruikt. Die moet op een of andere manier radius (of je radius client) als backend kunnen gebruiken. Heb je geen ftp server die dat kan, dan moet je met je radius client je lokale users syncen met de radius server. Het ligt er dus helemaal aan hoe je het wilt/kunt opzetten.

Facebook :: Twitter :: PSN

dinsdag 1 maart 2005 12:15

Acties:

Verwijderd

Topicstarter
dat is weer een stuk duidelijker en het syncen met de server is misschien ook een optie!
Ik gebruik op het moment PROFTPD als FTP-server en er is een module (mod_radius) voor.
Hier kan ik opgeven waar de server zicht bevind enz enz ( het enige dat ontrbreekt dat ik op kan geven dat hij een KEY moet gaan gebruiken) maar zou ik daar dan ook op kunnen geven dat hij mijn client die contact maakt met de server zou kunnen gebruiken ?

nog bedankt

[ Voor 11% gewijzigd door Verwijderd op 01-03-2005 12:18 ]

vrijdag 4 maart 2005 08:50

Acties:

Verwijderd

Ok! ik heb mijn FTP-SERVER in combinatie met RADIUS nu draaien maar ik moet nog steeds eerst een lokale account aanmaken die dood is.
Dus de user die word aangemaakt is bekend op de radius server maar heeft op de FTP-SERVER geen shell/password/home-direcotry, alleen een usersname is aanwezig.
Dit brengt weer redelijk wat administratief werk met zicht mee en daar zit ik niet op te wachten ( luie iter).
Het is natuurlijk mogelijk om een script te schrijven die bepaalde bestanden uitleest en kijkt welke users nieuw zijn en welke er weg moeten en dat dan ook uitvoerd, maar ik zoek naar een wat simpelere oplossing.

Is er bij PRO-FTPD een optie waar je kan aangeeven dat er geen local user account nodig is om in te kunnen loggen aan de hand van RADIUS.

als alvast bedankt

vrijdag 4 maart 2005 10:00

Acties:
  • riotrick
  • Registratie: Mei 2002
  • Laatst online: 24-01 10:44

riotrick

code:
1

RequireValidShell          off
Al geprobeerd?

Proftp heeft op zich geen systeem users nodig nl. Ik heb zelf een ftp user database in MySQL staan voor proftp. Die users bestaan niet op mijn systeem verder, maar kunnen wel ftp'en. Dat moet met de radius mod ook vast wel lukken.

[ Voor 74% gewijzigd door riotrick op 04-03-2005 10:02 ]

Facebook :: Twitter :: PSN

vrijdag 4 maart 2005 10:47

Acties:

Verwijderd

Ja heb ik al toegevoegd, maar ik moet echt een user aanmaken anders kom ik nergens uit. terwijl de log radius.log wel aangeeft dat de authenticatie goed is gegaan.

mijn proftpd.conf

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73

# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use.  It establishes a single server
# and a single anonymous login.  It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.

ServerName                      "ProFTPD Ferrari"
ServerType                      standalone
DefaultServer                   on
RequireValidShell               off
IdentLookups                    off
UseReverseDNS                   off
TimeoutIdle                     300
TimeoutNoTransfer               300


#RADIUS configuratie
RadiusEngine        on
radiusacctserver    xxx.xxx.xx.nl:1812 secret 30
radiusauthserver    xxx.xxx.xx.nl:1812 secret 30
RadiusLog       /var/log/radius.log

#Aanzetten om acces van hosts.allow/deny te gebruiken
#WrapEngine                      on
#WrapTables file:/etc/hosts.allow file:/etc/hosts.deny

#logs
LogFormat               default "%h %l %u %t \"%r\" %s %b"
LogFormat               auth    "%v [%P] %h %t \"%r\" %s"
LogFormat               write   "%h %l %u %t \"%r\" %s %b" 
ExtendedLog             /var/log/proftpd.access.log     WRITE,READ      write
ExtendedLog             /var/log/proftpd.auth.log       AUTH            auth

# Port 21 is the standard FTP port.
Port                            21

# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask                           022

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd).
MaxInstances                    30

# Set the user and group under which the server will run.
User                            nobody
Group                           nobody

# To cause every FTP user to be "jailed" (chrooted) into their home
# directory, uncomment this line.
DefaultRoot /data

# Normally, we want files to be overwriteable.
AllowOverwrite          on

# Bar use of SITE CHMOD by default
<Limit SITE_CHMOD>
  DenyAll
</Limit>

# Restricties voor defaultroot en users
# Alle home dirs waar CHROOT is

  <Directory /data>

  <Limit ALL>
      AllowAll
    </Limit>

  </Directory>

vrijdag 4 maart 2005 16:05

Acties:

Verwijderd

Radius zorgt alleen voor het Authenticatie en Authorisatie gedeelte van het inloggen. Het geeft geen verdere parameters aan de ftp server, alleen maar of de user wel/niet mag inloggen met de opgegeven user/password combo. Er gebeurt grofweg ongeveer zoiets:

1) ftpserver -> radius "User X met wachtwoord Y wil inloggen, mag dit?"
2) radius -> ftpserver "ja dat mag / nee dat mag niet"
3) ftpserver -> pam/mysql/ldap "waar staat de homedirectory van deze gebruiker?"
4) pam/mysql/ldap -> ftpserver "die staat in /home/user"
5) ftpserver -> gebruiker "je kunt inloggen en komt in /home/user terecht"

Stap 1 en 2 gaan in jouw geval goed, maar de ftpserver moet wel weten waar de homedir van de gebruiker is. Dus als je de user niet in pam (in riotrick's geval mysql of anders ldap) hebt zitten, zal de ftpserver nooit weten waar op het filesystem hij de gebruiker moet laten inloggen, en zal de user dus weigeren..

[ Voor 25% gewijzigd door Verwijderd op 04-03-2005 16:08 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq