Toon posts:

[Proftpd] LDAP Login probleem

Pagina: 1
Acties:

woensdag 2 maart 2005 14:34

Acties:

Verwijderd

Topicstarter
Ik probeer PROFTPD met LDAP aan de praat te krijgen, vervolgen het ik het volgende gedaan:
code:
1
2
3
4

* cd proftpd-version
* ./configure --with-modules=mod_ldap
* make
* make install


en gekeken of LDAP daadwerkelijk mee is geinstalleerd en dat is hij ook met PROFTPD.

Vervolgens heb ik het volgende aan mijn config toegevoegd van PROFTPD.conf

code:
1
2
3
4

#ldap configuratie
LDAPServer      xxx.xx.nl
LDAPDNInfo      dc=xx,dc=xx,dc=nl dnpass
LDAPDoAuth      on "ou=People,ou=staff,dc=cs,dc=uu,dc=nl"


voor de XX heb ik de computer ingevuld waar LDAP SERVER is.

Als ik nu met mijn ID probeer in te loggen die op de LDAP SERVER staat krijg ik een error en kan ik niet inloggen.
De /var/log/messages geeft de volgende fout

code:
1
2
3
4
5

Mar  2 14:20:52 ferrari proftpd[1383]: xxx.xxx.xx.nl (xxx.xxx.xxx.227[xxx.xxx.xxx.227]) - FTP session opened.
Mar  2 14:20:52 ferrari proftpd[1383]: xxx.xxx.xx.nl (xxx.xxx.xxx.227[xxx.xxx.xxx.227]) - mod_ldap: pr_ldap_connect(): ldap_simple_bind() as dc=xx,dc=xx,dc=nl failed: Operations error
Mar  2 14:20:52 ferrari proftpd[1383]: xxx.xxx.xx.nl (xxx.xxx.xxx.227[xxx.xxx.xxx.227]) - mod_ldap: pr_ldap_user_lookup(): ldap_search_st() failed: Timed out
Mar  2 14:20:52 ferrari proftpd[1383]: xxx.xxx.xx.nl (xxx.xxx.xxx.227[xxx.xxx.xxx.227]) - PAM(wesley): Authentication failure.
Mar  2 14:20:52 ferrari proftpd[1383]: xxx.xxx.xx.nl (xxx.xxx.xxx.227[xxx.xxx.xxx.227]) - FTP session closed.


wat kan het zijn :(

thnx in advance

woensdag 2 maart 2005 14:39

Acties:
  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 15:51

Dennis

Gebruik je OpenLDAP of Active Directory of eDirectory etc... ?

woensdag 2 maart 2005 14:44

Acties:

Verwijderd

Topicstarter
ik draai op mijn eigen linux bak niets, maar de server waar ldap op draait is een AD

volgde gedachten zit er achter

client (stuur naarm+passs) ------> ftpd machine ( redhadat kijk op de server )--->Server kijkt of user bestaat. zo moet hij gaat

woensdag 2 maart 2005 14:54

Acties:
  • Wilke
  • Registratie: December 2000
  • Laatst online: 19:03

Wilke

De bind failed, dat kan bv. komen doordat de server de gevraagde versie van het LDAP-protocol niet ondersteunt (of wil ondersteunen). Versie 2/3 verschil.

Verbinding krijgen lukt dus wel, maar daarna gaat het meteen mis, omdat ze het niet eens kunnen worden over het protocol (of omdat er iets anders mis gaat).

Het kan vast ook om andere redenen failen, je zou dat misschien aan de kant van de server kunnen zien. OpenLDAP kun je iig opstarten in debug-mode, waarbij dat soort dingen vrij snel zichtbaar zijn. Maar AD, tsja....geen idee.

Als je alleen de client-kant hebt dan blijft het gissen, tenzij je de client nog meer informatie kunt laten geven over waarom het binden failed (desnoods kun je met tcpdump gewoon specifiek op die poort kijken wat er terug komt, if anything).

woensdag 2 maart 2005 14:59

Acties:

Verwijderd

Topicstarter
ok ok dat is weer een stukje duidelijker, ga nu eens uitzoeken met welke versies PROFTPD overweg kan.
Nog een vraagje:

Ik hoef op de ftp-server zelf toch geen ldap te draaien :s allen de server waar authenticatie aan wordt gevraag dient toch ldap te draaien :s

woensdag 2 maart 2005 20:38

Acties:

Verwijderd

Ben geen echte LDAP (en al helemaal geen AD) kenner, maar hij probeert je paswoord op een "simpele" manier te controleren, uit je log:
code:
1

ldap_simple_bind

Er is ook nog een andere mogenlijkheid. Je kunt bijde even handmatig testen door het volgende uit te voeren:

Simple:
code:
1

ldapsearch -x -b "dc=xxx,dc=xx" -D "cn=admin,dc=xxx,dc=xx" objectclass=* -W

Niet simple (de -x weglaten):
code:
1

ldapsearch -b "dc=xxx,dc=xx" -D "cn=admin,xxxx,dc=xx" objectclass=* -W


Wanneer het goed gaat komt alle info uit de ldap server mocht je server nogal veel bevatten, dan kun je ook een specifiekere zoekopdracht geven.

woensdag 2 maart 2005 21:26

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Nu online

_JGC_

Pleur die proftpd-ldap support maar weg en doe de authenticatie via pam_ldap. Die module is echt het brakste ding wat er bestaat, ik heb het ding nog nooit werkend gekregen.
Mocht je niet met PAM willen werken: kijk eens naar pure-ftpd, die is flink uitgebreid en komt ook met een eigen LDAP schema waarin je zowat alles in een account kunt instellen.

donderdag 3 maart 2005 09:30

Acties:

Verwijderd

Topicstarter
Na nog wat verder te kijken ( en een alternatieve optie als radius in overweging te nemen) denk ik dat ik een stapje verder ben.

in mijn log krijg ik nu een andere error en wel de volgende:

code:
1
2
3

Mar  3 09:16:46 ferrari proftpd[14794]: xxx.xxx.uu.nl (131.xxx.xxx.xxx[131.xxx.xxx.xxx]) - FTP session opened.
Mar  3 09:17:02 ferrari proftpd[14794]: xxx.xxx.uu.nl  (131.xxx.xxx.xxx[131.xxx.xxx.xxx]) - mod_ldap: pr_ldap_user_lookup(): ldap_search_st() failed: No such object
Mar  3 09:17:02 ferrari proftpd[14794]: xxx.xxx.uu.nl  (131.xxx.xxx.xxx[131.xxx.xxx.xxx]) - no such user 'xxx102'


waarmee ik bedoel "ldap_search_st() failed: No such object"

betekend dit dat hij de container in de AD niet kan vinden waar de user opgeslagen staat ?

code:
1

LDAPDoAuth      on "ou=People,dc=xx,dc=xx,dc=nl"


thnx in advance

donderdag 3 maart 2005 09:39

Acties:
  • eborn
  • Registratie: April 2000
  • Laatst online: 11-02 20:05

eborn

_JGC_ schreef op woensdag 02 maart 2005 @ 21:26:
Pleur die proftpd-ldap support maar weg en doe de authenticatie via pam_ldap. Die module is echt het brakste ding wat er bestaat, ik heb het ding nog nooit werkend gekregen.
Mocht je niet met PAM willen werken: kijk eens naar pure-ftpd, die is flink uitgebreid en komt ook met een eigen LDAP schema waarin je zowat alles in een account kunt instellen.
Grappig, ik ben juist van Pure 'teruggegaan' naar ProFTPd. Niet zozeer vanwege de LDAP implementatie, die was voor mij bij beide systemen toereikend. Maar ProFTPd heeft betere ondersteuning voor virtuele directories en het volgen van bestaande symlinks in een 'chrooted' omgeving.

donderdag 3 maart 2005 09:40

Acties:
  • eborn
  • Registratie: April 2000
  • Laatst online: 11-02 20:05

eborn

Verwijderd schreef op donderdag 03 maart 2005 @ 09:30:
waarmee ik bedoel "ldap_search_st() failed: No such object"
betekend dit dat hij de container in de AD niet kan vinden waar de user opgeslagen staat ?
Of hij heeft te weinig rechten om het object te zien, waardoor hij ook een foutmelding geeft.

donderdag 3 maart 2005 09:50

Acties:

Verwijderd

Topicstarter
eborn schreef op donderdag 03 maart 2005 @ 09:40:
[...]
Of hij heeft te weinig rechten om het object te zien, waardoor hij ook een foutmelding geeft.
maar de melding houd dus in dat hij de AD neit kan lezen en de gebruiker niet kan vinden ?
als dat zo is moet ik weer eens contact opnemen met de afdeling die deze server onderhoud! zucht :(

Verder heb ik geen user + password nodig om contact te maken met de server.

donderdag 3 maart 2005 10:15

Acties:
  • eborn
  • Registratie: April 2000
  • Laatst online: 11-02 20:05

eborn

Verwijderd schreef op donderdag 03 maart 2005 @ 09:50:
maar de melding houd dus in dat hij de AD neit kan lezen en de gebruiker niet kan vinden ?
Die kans is groot. Maar het kan meer oorzaken hebben.

Probeer anders eens met het tooltje ldapsearch dezelfde query te doen. Dan komt er misschien meer informatie naar boven.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq