СВЯЗЫВАНИЕ С СЕРВЕРОМ FTP
В качестве сервера ftp мы выбрали ProFTPD (http://www.proftpd.net/). Он надежен, удобен в конфигурировании и (как ранее упоминалось) имеет модуль, с помощью которого пользователи могут быть аутентифицированы через LDAP.
Сначала мы установили версию 1.2.0rc2, но столкнулись с проблемами в имевшейся версии модуля mod_ldap — он просто не работал. Ситуация была разрешена получением обновленной версии от автора модуля по адресу: http://horde.net/~jwm/software/proftpd-ldap/.
После копирования нового модуля в каталог contrib дерева исходных текстов ProFTPD, система была с.компилирована следующим образом:
./configure -with-modules=mod ldap make make install
Архитектура вашей системы может потребовать внесения некоторых изменений, для чего будет полезна документация на сервере Web ProFTPD.
Ниже приведены ключевые элементы конфигурационного файла ProFTPD (proftpd.conf), требующиеся для выполнения аутентификации на базе LDAP:
| LDAPServer | ldap.your-domain.com |
| LDAPDNInfo | "cn=Admin,dc=your-domain,dc=com" \ "your-secret-password" |
| LDAPDoAuth on | "dc=your-domain,dc=com" "uid=%u" |
| LDAPDefaultAuthScheme | "crypt" |
| LDAPDoUIDLookups | off |
| LDAPDoGIDLookups | off |
| LDAPNegativeCache | on |
| LDAPDefaultGID | 50 |
| LDAPDefaultUID | 50 |
В нашем случае все домашние каталоги учетных записей принадлежали одной обобщенной комбинации пользователь/группа — весь доступ определялся ProFTPD. Таким образом, просмотр был запрещен, и сконфигурированы GID и UID, используемые по умолчанию. Кроме того, по умолчанию пароль является зашифрованным. Если вы внимательно просмотрите domain2ldap (см. Листинг 2), то увидите, что импортируемые (зашифрованные) пароли предваряются ключевым словом {crypt}. В этом нет непосредственной необходимости — что следует из строки LDAPDefault-AuthScheme, — но неплохо бы заранее подумать о том, что может случиться (например, однажды понадобится использовать простые текстовые пароли).
На данном этапе все должно идти как по маслу. Если это не так, проверьте регистрационные журналы (logs) обоих серверов — ProFTPD и slapd, вдруг вы заметите очевидные ошибки. К сожалению, в нашем случае причина неработоспособности модуля mod_ldap не лежала на поверхности: поиск по базе данных LDAP проходил успешно, вот только ProFTPD каждый раз во время аутентификации пользователя упорно отвечал отказом.
