ProFTPd + Windows AD (LDAP) - users kunnen niet aanmelden - Linux en overige clients

donderdag 9 januari 2020 13:44

Acties:

0 Henk 'm!

Dutch2007

Topicstarter

Mijn vraag

ProFTPd + Windows AD (LDAP) - users kunnen niet aanmelden

Relevante software en hardware die ik gebruik
- Debian 10
- Proftpd-basic
- Proftpd-mod-auth

Wat ik al gevonden of geprobeerd heb:

Logging gecontroleerd: https://pastebin.com/V5ctygHh

Gebruikte tutorial: https://warlord0blog.word...nd-ldap-active-directory/

code:

2020-01-08 22:37:34,021 mod_ldap/2.9.4[500]: generated filter OU=ad-domain-name-Users,DC=corp,DC=ad-domain-name,DC=xyz from template OU=ad-domain-name-Users,DC=corp,DC=ad-domain-name,DC=xyz and value ftp-user
2020-01-08 22:37:34,021 mod_ldap/2.9.4[500]: generated filter (&(objectClass=user)(sAMAccountName=ftp-user)) from template (&(objectClass=user)(sAMAccountName=%u)) and value ftp-user
2020-01-08 22:37:34,021 mod_ldap/2.9.4[500]: parsed 'ldap://a.b.c.d/??sub' as 'ldap://a.b.c.d:389/??sub'
2020-01-08 22:37:34,021 mod_ldap/2.9.4[500]: attempting connection to URL ldap://a.b.c.d/??sub
2020-01-08 22:37:34,026 mod_ldap/2.9.4[500]: set LDAP protocol version to 3
2020-01-08 22:37:34,026 mod_ldap/2.9.4[500]: connected to URL ldap://a.b.c.d/??sub
2020-01-08 22:37:34,029 mod_ldap/2.9.4[500]: successfully bound as DN 'CN=read-only user,CN=Users,DC=corp,DC=ad-domain-name,DC=xyz' with password (see config)
2020-01-08 22:37:34,030 mod_ldap/2.9.4[500]: set dereferencing to 0
2020-01-08 22:37:34,030 mod_ldap/2.9.4[500]: set query timeout to 5 secs
2020-01-08 22:37:34,031 mod_ldap/2.9.4[500]: searched under base DN OU=ad-domain-name-Users,DC=corp,DC=ad-domain-name,DC=xyz using filter (&(objectClass=user)(sAMAccountName=ftp-user))
2020-01-08 22:37:34,031 mod_ldap/2.9.4[500]: fetching values for attribute sAMAccountName
2020-01-08 22:37:34,031 mod_ldap/2.9.4[500]: fetching values for attribute uidNumber
2020-01-08 22:37:34,031 mod_ldap/2.9.4[500]: fetching values for attribute gidNumber
2020-01-08 22:37:34,031 mod_ldap/2.9.4[500]: no values for attribute gidNumber, trying defaults
2020-01-08 22:37:34,031 mod_ldap/2.9.4[500]: using LDAPDefaultGID 100
2020-01-08 22:37:34,031 mod_ldap/2.9.4[500]: fetching values for attribute homeDirectory
2020-01-08 22:37:34,031 mod_ldap/2.9.4[500]: no values for attribute homeDirectory, trying defaults
2020-01-08 22:37:34,031 mod_ldap/2.9.4[500]: no homeDirectory attribute for DN CN=FTP USER,OU=ad-domain-name-Users,DC=corp,DC=ad-domain-name,DC=xyz, LDAPGenerateHomedir not enabled
2020-01-08 22:37:34,035 mod_ldap/2.9.4[500]: generated filter OU=ad-domain-name-Users,DC=corp,DC=ad-domain-name,DC=xyz from template OU=ad-domain-name-Users,DC=corp,DC=ad-domain-name,DC=xyz and value ftp-user
2020-01-08 22:37:34,035 mod_ldap/2.9.4[500]: generated filter (&(objectClass=user)(sAMAccountName=ftp-user)) from template (&(objectClass=user)(sAMAccountName=%u)) and value ftp-user
2020-01-08 22:37:34,035 mod_ldap/2.9.4[500]: parsed 'ldap://a.b.c.d/??sub' as 'ldap://a.b.c.d:389/??sub'
2020-01-08 22:37:34,035 mod_ldap/2.9.4[500]: attempting connection to URL ldap://a.b.c.d/??sub
2020-01-08 22:37:34,035 mod_ldap/2.9.4[500]: set LDAP protocol version to 3
2020-01-08 22:37:34,035 mod_ldap/2.9.4[500]: connected to URL ldap://a.b.c.d/??sub
2020-01-08 22:37:34,038 mod_ldap/2.9.4[500]: successfully bound as DN 'CN=read-only user,CN=Users,DC=corp,DC=ad-domain-name,DC=xyz' with password (see config)
2020-01-08 22:37:34,038 mod_ldap/2.9.4[500]: set dereferencing to 0
2020-01-08 22:37:34,038 mod_ldap/2.9.4[500]: set query timeout to 5 secs
2020-01-08 22:37:34,039 mod_ldap/2.9.4[500]: searched under base DN OU=ad-domain-name-Users,DC=corp,DC=ad-domain-name,DC=xyz using filter (&(objectClass=user)(sAMAccountName=ftp-user))
2020-01-08 22:37:34,039 mod_ldap/2.9.4[500]: fetching values for attribute sAMAccountName
2020-01-08 22:37:34,039 mod_ldap/2.9.4[500]: fetching values for attribute uidNumber
2020-01-08 22:37:34,039 mod_ldap/2.9.4[500]: fetching values for attribute gidNumber
2020-01-08 22:37:34,039 mod_ldap/2.9.4[500]: no values for attribute gidNumber, trying defaults
2020-01-08 22:37:34,039 mod_ldap/2.9.4[500]: using LDAPDefaultGID 100
2020-01-08 22:37:34,039 mod_ldap/2.9.4[500]: fetching values for attribute homeDirectory
2020-01-08 22:37:34,039 mod_ldap/2.9.4[500]: no values for attribute homeDirectory, trying defaults
2020-01-08 22:37:34,039 mod_ldap/2.9.4[500]: no homeDirectory attribute for DN CN=FTP USER,OU=ad-domain-name-Users,DC=corp,DC=ad-domain-name,DC=xyz, LDAPGenerateHomedir not enabled
2020-01-09 11:12:57,545 mod_ldap/2.9.4[682]: generated filter OU=ad-domain-name-Users,DC=corp,DC=ad-domain-name,DC=xyz from template OU=ad-domain-name-Users,DC=corp,DC=ad-domain-name,DC=xyz and value ftp-user
2020-01-09 11:12:57,545 mod_ldap/2.9.4[682]: generated filter (&(objectClass=user)(sAMAccountName=ftp-user)) from template (&(objectClass=user)(sAMAccountName=%u)) and value ftp-user
2020-01-09 11:12:57,545 mod_ldap/2.9.4[682]: parsed 'ldap://a.b.c.d/??sub' as 'ldap://a.b.c.d:389/??sub'
2020-01-09 11:12:57,545 mod_ldap/2.9.4[682]: attempting connection to URL ldap://a.b.c.d/??sub
2020-01-09 11:12:57,570 mod_ldap/2.9.4[682]: set LDAP protocol version to 3
2020-01-09 11:12:57,570 mod_ldap/2.9.4[682]: connected to URL ldap://a.b.c.d/??sub
2020-01-09 11:12:57,573 mod_ldap/2.9.4[682]: successfully bound as DN 'CN=read-only user,CN=Users,DC=corp,DC=ad-domain-name,DC=xyz' with password (see config)
2020-01-09 11:12:57,574 mod_ldap/2.9.4[682]: set dereferencing to 0
2020-01-09 11:12:57,574 mod_ldap/2.9.4[682]: set query timeout to 5 secs
2020-01-09 11:12:57,575 mod_ldap/2.9.4[682]: searched under base DN OU=ad-domain-name-Users,DC=corp,DC=ad-domain-name,DC=xyz using filter (&(objectClass=user)(sAMAccountName=ftp-user))
2020-01-09 11:12:57,575 mod_ldap/2.9.4[682]: fetching values for attribute sAMAccountName
2020-01-09 11:12:57,575 mod_ldap/2.9.4[682]: fetching values for attribute uidNumber
2020-01-09 11:12:57,575 mod_ldap/2.9.4[682]: fetching values for attribute gidNumber
2020-01-09 11:12:57,575 mod_ldap/2.9.4[682]: no values for attribute gidNumber, trying defaults
2020-01-09 11:12:57,575 mod_ldap/2.9.4[682]: using LDAPDefaultGID 100
2020-01-09 11:12:57,575 mod_ldap/2.9.4[682]: fetching values for attribute homeDirectory
2020-01-09 11:12:57,575 mod_ldap/2.9.4[682]: no values for attribute homeDirectory, trying defaults
2020-01-09 11:12:57,575 mod_ldap/2.9.4[682]: no homeDirectory attribute for DN CN=FTP USER,OU=ad-domain-name-Users,DC=corp,DC=ad-domain-name,DC=xyz, LDAPGenerateHomedir not enabled
2020-01-09 11:12:57,577 mod_ldap/2.9.4[682]: generated filter OU=ad-domain-name-Users,DC=corp,DC=ad-domain-name,DC=xyz from template OU=ad-domain-name-Users,DC=corp,DC=ad-domain-name,DC=xyz and value ftp-user
2020-01-09 11:12:57,577 mod_ldap/2.9.4[682]: generated filter (&(objectClass=user)(sAMAccountName=ftp-user)) from template (&(objectClass=user)(sAMAccountName=%u)) and value ftp-user
2020-01-09 11:12:57,577 mod_ldap/2.9.4[682]: parsed 'ldap://a.b.c.d/??sub' as 'ldap://a.b.c.d:389/??sub'
2020-01-09 11:12:57,577 mod_ldap/2.9.4[682]: attempting connection to URL ldap://a.b.c.d/??sub
2020-01-09 11:12:57,577 mod_ldap/2.9.4[682]: set LDAP protocol version to 3
2020-01-09 11:12:57,577 mod_ldap/2.9.4[682]: connected to URL ldap://a.b.c.d/??sub
2020-01-09 11:12:57,580 mod_ldap/2.9.4[682]: successfully bound as DN 'CN=read-only user,CN=Users,DC=corp,DC=ad-domain-name,DC=xyz' with password (see config)
2020-01-09 11:12:57,580 mod_ldap/2.9.4[682]: set dereferencing to 0
2020-01-09 11:12:57,580 mod_ldap/2.9.4[682]: set query timeout to 5 secs
2020-01-09 11:12:57,581 mod_ldap/2.9.4[682]: searched under base DN OU=ad-domain-name-Users,DC=corp,DC=ad-domain-name,DC=xyz using filter (&(objectClass=user)(sAMAccountName=ftp-user))
2020-01-09 11:12:57,581 mod_ldap/2.9.4[682]: fetching values for attribute sAMAccountName
2020-01-09 11:12:57,581 mod_ldap/2.9.4[682]: fetching values for attribute uidNumber
2020-01-09 11:12:57,581 mod_ldap/2.9.4[682]: fetching values for attribute gidNumber
2020-01-09 11:12:57,581 mod_ldap/2.9.4[682]: no values for attribute gidNumber, trying defaults
2020-01-09 11:12:57,581 mod_ldap/2.9.4[682]: using LDAPDefaultGID 100
2020-01-09 11:12:57,581 mod_ldap/2.9.4[682]: fetching values for attribute homeDirectory
2020-01-09 11:12:57,581 mod_ldap/2.9.4[682]: no values for attribute homeDirectory, trying defaults
2020-01-09 11:12:57,581 mod_ldap/2.9.4[682]: no homeDirectory attribute for DN CN=FTP USER,OU=ad-domain-name-Users,DC=corp,DC=ad-domain-name,DC=xyz, LDAPGenerateHomedir not enabled

Idee is dat iedereen die lid is van "FTP-users" toegang tot de FTP heeft. (iedereen heeft een personal login, maar kan wel nagenoeg overal bij).

Settings aangepast naar diverse varianten.

code:

#
# Proftpd sample configuration for LDAP authentication.
#
# (This is not to be used if you prefer a PAM-based LDAP authentication)
#
 
<IfModule mod_ldap.c>
 
LDAPUseTLS off
LDAPServer ldap://a.b.c.d/??sub
LDAPBindDN "CN=read-only user,CN=Users,DC=corp,DC=Domain,DC=xyz" "Y*vjh%#ne2K#tmb45D3%AHSDx"
#LDAPUsers "ou=FTP Users,dc=domain,dc=local" (&(objectClass=user)(sAMAccountName=%u)) (&(objectClass=user)(uid=%v))
#CN=Users,DC=corp,DC=Domain,DC=xyz
#LDAPUsers "CN=Users,DC=corp,DC=Domain,DC=xyz" (&(objectClass=user)(sAMAccountName=%u)) (&(objectClass=user)(uid=%v))
 
LDAPUsers "OU=Domain-Users,DC=corp,DC=Domain,DC=xyz" (&(objectClass=user)(sAMAccountName=%u)) (&(objectClass=user)(uid=%v))
 
LDAPDoAuth on "OU=Domain-Users,DC=corp,DC=Domain,DC=xyz"  (&(sAMAccountName=%v)(objectclass=User))
#OU=Domain-Users,DC=corp,DC=Domain,DC=xyz
 
LDAPLog /var/log/mod_ldap.log
LDAPDefaultGID 100 # users group
LDAPForceDefaultGid on
LDAPGenerateHomedir off
LDAPAttr uid sAMAccountName
#LDAPAttr homeDirectory unixHomeDirectory
 
#
# This is used for ordinary LDAP connections, with or without TLS
#
#LDAPServer ldap://ldap.example.com
#LDAPBindDN "cn=admin,dc=example,dc=com" "admin_password"
#LDAPUsers dc=users,dc=example,dc=com (uid=%u) (uidNumber=%u)
#
# To be set on only for LDAP/TLS on ordinary port, for LDAP+SSL see below
#LDAPUseTLS on
#
 
#
# This is used for encrypted LDAPS connections
#
#LDAPServer ldaps://ldap.example.com
#LDAPBindDN "cn=admin,dc=example,dc=com" "admin_password"
#LDAPUsers dc=users,dc=example,dc=com (uid=%u) (uidNumber=%u)
#
</IfModule>

[ Voor 80% gewijzigd door Dutch2007 op 11-01-2020 00:10 ]

vrijdag 10 januari 2020 20:42

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Je log bevat geen errors, en dus ook geen reden waarom het inloggen niet mag. Sterker nog, ik kan niet echt zien of er een inlogpoging plaatsvind voor een gebruiker. Alleen dat er een LDAP search wordt gedaan.

Ook de configuratie is summier, alleen de AD koppeling staat er in, niet de rest van je opzet. Is er ook een reden om de LDAPGenerateHomeDir uit te zetten?

Commandline FTW | Tweakt met mate

zaterdag 11 januari 2020 00:10

Acties:

0 Henk 'm!

Dutch2007

Topicstarter

Hero of Time schreef op vrijdag 10 januari 2020 @ 20:42:
Je log bevat geen errors, en dus ook geen reden waarom het inloggen niet mag. Sterker nog, ik kan niet echt zien of er een inlogpoging plaatsvind voor een gebruiker. Alleen dat er een LDAP search wordt gedaan.

Ook de configuratie is summier, alleen de AD koppeling staat er in, niet de rest van je opzet. Is er ook een reden om de LDAPGenerateHomeDir uit te zetten?

Home Drives gaan toch niet gebruikt worden, puur voor transfer van wat files

Tutorial die ik gebruikt heb om t in te stellen overigens:

https://warlord0blog.word...nd-ldap-active-directory/

zaterdag 11 januari 2020 09:57

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Dutch2007 schreef op zaterdag 11 januari 2020 @ 00:10:
[...]

Home Drives gaan toch niet gebruikt worden, puur voor transfer van wat files

Tutorial die ik gebruikt heb om t in te stellen overigens:

https://warlord0blog.word...nd-ldap-active-directory/

Ja, maar in die tut staat:

So after it finished installing I pretty much connected to FTP as a “non-root” user and was able to connect to my home folder and then navigate the entire file system.

en verderop

Locking the Users to their Home Folders

QnJhaGlld2FoaWV3YQ==

zaterdag 11 januari 2020 10:40

Acties:

+1 Henk 'm!

Wim-Bart

Zie signature voor een baan.

Volgens jouw query zoek je users in een OU met de naam Domain-Users en niet naar members van een AD groep met die naam. Groepen zijn altijd CN= en niet OU=, dus je query zit fout.

Je zou een query kunnen maken die zoekt naar een user in een OU en member is van een specifieke groep.

[ Voor 25% gewijzigd door Wim-Bart op 11-01-2020 10:42 ]

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

zondag 12 januari 2020 22:56

Acties:

0 Henk 'm!

Dutch2007

Topicstarter

Wim-Bart schreef op zaterdag 11 januari 2020 @ 10:40:
Volgens jouw query zoek je users in een OU met de naam Domain-Users en niet naar members van een AD groep met die naam. Groepen zijn altijd CN= en niet OU=, dus je query zit fout.

Je zou een query kunnen maken die zoekt naar een user in een OU en member is van een specifieke groep.

Moah, members zitten in 2 out's (2 lokaties), dus dat zal dus alleen een "CN" (group membership) moeten zijn, anders gaat daar mogelijk wat mis.

ProFTPd + Windows AD (LDAP) - users kunnen niet aanmelden

Vraag

Alle reacties