ComputerBase Menü
Aktuelles

SFTP mit LDAP Authentifizierung

M

Muhfragezeichen

Cadet 3rd Year
Registriert
Apr. 2011
Beiträge
50
Guten Tag zusammen,
ich habe auf meinem Fedora 16 mit openSSH ein SFTP Server laufen(Version 5.8p2). Über Chroot befinden sich die auf dem Server Lokal angelegten Benutzer in ihrem Jail und haben dort nur lese Rechte.

Nun würde ich gerne anstatt die Lokalen Benutzer zu verwenden einen LDAP für die Authentifizierung verwenden der sich im gleichen Netzbefindet aber auf einem anderem Server (Debian).

Meine Frage ist: Was und wo muss ich die Einstellungen machen damit meine in LDAP eingerichteten Benutzer sich auf den sftp Server verbinden können und die eingerichteten Personen der gruppe sftponly angehören

In der sshd_config habe ich UsePam auf "yes" stehen und openssh-ldap (Version 5.8p2) ist auch installiert. Was muss ich nun tun? Hat da jemand Erfahrung?

Viele Grüße
Muh?
 
Du brauchst einen ldap-client (openldap) der mit dem ldap spricht.
und du musst pam beibringen das er Benutzer auch per ldap authentifiziert.
getent passwd sollte am Ende Ldap Benutzer anzeigen, dann können diese sich auch normal authentifizieren.
 
So weit war ich bereits, nur welches PAM Modul muss modifiziert werden und dann vor allem: wie bringe ich ihm bei das er Benutzer auch per LDAP Authentifiziert? Ich habe bei mir schon die Server IP + Base in der ldap.conf eingegeben.
 
Ich hab leider nur ein andere redHat Derivat rumfliegen, aber es sollte zumindest ähnlich sein, zumindest diese Anleitung hat auch funktioniert:
https://www.centos.org/docs/5/html/Deployment_Guide-en-US/s1-ldap-pam.html

Also ggf. noch das nss_ldap installieren und die nsswitch.conf Anpassen:
passwd: files ldap
shadow: files ldap
group: files ldap

in /etc/pam.d hab ich hier noch ein paar Einträge für die pam_ldap.so:
grep ldap *
system-auth:auth sufficient pam_ldap.so use_first_pass
system-auth:account [default=bad success=ok user_unknown=ignore] pam_ldap.so
system-auth:password sufficient pam_ldap.so use_authtok
system-auth:session optional pam_ldap.so
system-auth-ac:auth sufficient pam_ldap.so use_first_pass
system-auth-ac:account [default=bad success=ok user_unknown=ignore] pam_ldap.so
system-auth-ac:password sufficient pam_ldap.so use_authtok
system-auth-ac:session optional pam_ldap.so

Ist eine Testkiste, deswegen keine 100%ige Sicherheit dass es so funzt, wie du es brauchst. Mit dem LDAP spricht sie allerdings einwandfrei ;)
 
Das sieht schonmal viel versprechend aus, danke! Allerdings habe ich keine pam_ldap in /etc/pam.d . Muss ich die selber erstellen?
 
in /etc/pam.d/ musst du maximal eine sshd Datei erstellen:
#%PAM-1.0
auth include system-auth
account required pam_nologin.so
account include system-auth
password include system-auth
session optional pam_keyinit.so force revoke
session include system-auth
session required pam_loginuid.so

evtl. ist noch ein

session optional pam_mkhomedir.so
sinnvoll, dass hängt aber von deiner chroot Konfiguration ab.

Die pam_ldap.so muss in /lib/security liegen.

Im meinem Kopf schwirrt noch rum, das der name caching Deamon manchmal hakelig ist und sich aufhängt. Wenn es Probleme gibt, sollte man ihn zumindest mal Testweise abschalten
 
Ich dreh durch... nss_ldap installiert und nun startet mein Fedora nichtmehr 2 Wochen Konfigurations Arbeit hinüber so nen driss ... das wird den Ausbilder nicht freuen... naja muss ich nächste Woche neu machen...


muss man das genau so in die sshd kopieren?

system-auth:auth sufficient pam_ldap.so use_first_pass
system-auth:account [default=bad success=ok user_unknown=ignore] pam_ldap.so
system-auth:password sufficient pam_ldap.so use_authtok
system-auth:session optional pam_ldap.so
system-auth-ac:auth sufficient pam_ldap.so use_first_pass
system-auth-ac:account [default=bad success=ok user_unknown=ignore] pam_ldap.so
system-auth-aca:pssword sufficient pam_ldap.so use_authtok
system-auth-ac:session optional pam_ldap.so

oder kommt das woanders rein?
 
Nee das war nur der grep über das /etc/pam.d Verzeichnis in welchen Dateien überall die pam_ldap.so drin steht, also in der system-auth und der system-auth-ac
Wenn auf dem system das Authentication Configuration Tool (system-config-authentication) installiert ist
übernimmt das meines Wissens nach die Einträge in die ganzen Dateien.

Mein CentOS ist immer brav hochgefahren, Oracle Linux auch.
Vielleicht das ganze erstmal auf ner VM durchspielen, dann kann man sich wenigstens Snapshots ziehen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
Frage, proFTPd mit SQL und MD5
Antworten
3
Aufrufe
338
konkretor
konkretor
J
Ubuntu 22.04: SSH-Login nicht möglich trotz passender sshd_config
2
Antworten
20
Aufrufe
5.905
Evil E-Lex
Evil E-Lex
Corin Corvus
Automatisches Erstellen des Images mit Docker
Antworten
17
Aufrufe
1.406
ChromeRonin
ChromeRonin
P
openSSH und SCP
Antworten
16
Aufrufe
961
olympiakos
O
P
WireGuard, Speedport und SMB
2
Antworten
37
Aufrufe
3.105
Bob.Dig
Bob.Dig

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz