Вопросы Теги

Конфигурирование vsftpd для аутентификации с Active Directory

Версия для предприятия SQL-сервера включает опцию для восстановления индекса, в то время как они живы при помощи OPTION ONLINE (ALTER INDEX REBUILD WITH (ONLINE = ON)) во время восстанавливают, где, поскольку непредприятие потребует, чтобы Вы вывели индекс из эксплуатации для восстановления его.

Таким образом, лучшая практика должна работать, восстанавливает во время от часов, еще больше когда у Вас нет онлайн восстановления.

Обратите внимание, что, если индексы не слишком фрагментируются, также можно хотеть просто реорганизовать вместо, восстанавливают. Дополнительную информацию см. в этой странице MSDN на этом.

2
задан 14 February 2014 в 22:07
2 ответа

Прочитав информацию о PAM, я понял, что использование интерфейса учетной записи для pam_ldap не требуется. Поскольку все, что я хотел сделать, это проверить конфигурацию пароля, я установил служебный файл следующим образом: 

#%PAM-1.0
auth     required    pam_ldap.so
account  required    pam_permit.so
session  required    pam_limits.so

Работал как шарм.

2
ответ дан 3 December 2019 в 10:47

У меня не было лучшего опыта работы с pam_ldap, поэтому я начал использовать SSSD для аутентификации домена. Я установил VSFTPD на тестовый сервер и смог успешно пройти аутентификацию после полного копирования вашего файла vsftpd.conf . Могут ли пользователи домена проходить аутентификацию в любых других службах на этом сервере? Я думаю, что ваши пользователи не обнаруживаются, когда они пытаются пройти аутентификацию. 

yum install sssd

Для аутентификации с помощью SSSD вам необходимо использовать безопасное соединение (LDAP с TLS, LDAPS через TCP / 636 или LDAPS через TCP / 3269 для глобального каталога).

Ниже представлена ​​отредактированная версия файла конфигурации, который я использую на работе для аутентификации пользователей в Active Directory на Centos 6. У меня несколько доменов в одном лесу, поэтому я пошел с поиском LDAP вместо присоединения сервера к домену через Kerberos, чтобы немного облегчить себе жизнь. 

[sssd]

domains = WORK
services = nss, pam
config_file_version = 2

[pam]
offline_credentials_expiration = 5

[nss]

[domain/WORK]
description = Work domains

enumerate = false

id_provider = ldap
auth_provider = ldap
chpass_provider = none
access_provider = ldap

ldap_pwd_policy = none
ldap_schema = ad
ldap_user_name = sAMAccountName
ldap_user_object_class = person
ldap_group_object_class = group
ldap_id_mapping = True
case_sensitive = false

override_shell = /bin/bash
override_homedir = /home/%u

ldap_uri = ldaps://10.9.8.6:3269
ldap_tls_reqcert = never

ldap_search_base = dc=work,dc=local
ldap_default_bind_dn = CN=Shell Auth Lookup,OU=Service Accounts,DC=work,DC=local
ldap_default_authtok_type = password
ldap_default_authtok = password-for-the-proxy-user

ldap_access_filter = (&(objectClass=person)(|(memberOf:1.2.840.113556.1.4.1941:=CN=shell-admins,OU=Groups,DC=work,DC=local)(memberOf:1.2.840.113556.1.4.1941:=CN=shell-access,OU=Groups,DC=work,DC=local)))

После написания файла конфигурации его можно редактировать только root. SSSD немедленно завершит работу, если права доступа отличны от 600, с правами root. 

chmod 600 /etc/sssd/sssd.conf

Включена аутентификация SSSD (в вашем случае вы можете пропустить переключатель для создания домашних каталогов, поскольку он предназначен для использования оболочки). 

authconfig --enablesssd --enablesssdauth --enablemkhomedir --updateall

Запустите службу и включите ее: 

service sssd start && chkconfig enable sssd

См. Также: http://www.gadgeteering.ca/blogs/active-directory-authentication-linux-through-sssd

Если вы хотите вместо этого присоединиться к домену через Kerberos вместо использования LDAP, это статья, которой я следил в своей песочнице: http://theblitzbit.com/2013/04/08/make-red-hat-talk-to-windows/ . 

[sssd]

domains = WORK
services = nss, pam
config_file_version = 2

[pam]
offline_credentials_expiration = 5

[nss]

[domain/WORK]
description = Work domains

enumerate = false

id_provider = ldap
auth_provider = ldap
chpass_provider = none
access_provider = ldap

ldap_pwd_policy = none
ldap_schema = ad
ldap_user_name = sAMAccountName
ldap_user_object_class = person
ldap_group_object_class = group
ldap_id_mapping = True
case_sensitive = false

override_shell = /bin/bash
override_homedir = /home/%u

ldap_uri = ldaps://10.9.8.6:3269
ldap_tls_reqcert = never

ldap_search_base = dc=work,dc=local
ldap_default_bind_dn = CN=Shell Auth Lookup,OU=Service Accounts,DC=work,DC=local
ldap_default_authtok_type = password
ldap_default_authtok = password-for-the-proxy-user

ldap_access_filter = (&(objectClass=person)(|(memberOf:1.2.840.113556.1.4.1941:=CN=shell-admins,OU=Groups,DC=work,DC=local)(memberOf:1.2.840.113556.1.4.1941:=CN=shell-access,OU=Groups,DC=work,DC=local)))

После записи файла конфигурации его можно редактировать только с правами root. SSSD немедленно завершит работу, если права доступа отличны от 600, с правами root. 

chmod 600 /etc/sssd/sssd.conf

Включена аутентификация SSSD (в вашем случае вы можете пропустить переключатель для создания домашних каталогов, поскольку он предназначен для использования оболочки). 

authconfig --enablesssd --enablesssdauth --enablemkhomedir --updateall

Запустите службу и включите ее: 

service sssd start && chkconfig enable sssd

См. Также: http://www.gadgeteering.ca/blogs/active-directory-authentication-linux-through-sssd

Если вы хотите вместо этого присоединиться к домену через Kerberos вместо использования LDAP, это статья, которой я следил в своей песочнице: http://theblitzbit.com/2013/04/08/make-red-hat-talk-to-windows/ . 

[sssd]

domains = WORK
services = nss, pam
config_file_version = 2

[pam]
offline_credentials_expiration = 5

[nss]

[domain/WORK]
description = Work domains

enumerate = false

id_provider = ldap
auth_provider = ldap
chpass_provider = none
access_provider = ldap

ldap_pwd_policy = none
ldap_schema = ad
ldap_user_name = sAMAccountName
ldap_user_object_class = person
ldap_group_object_class = group
ldap_id_mapping = True
case_sensitive = false

override_shell = /bin/bash
override_homedir = /home/%u

ldap_uri = ldaps://10.9.8.6:3269
ldap_tls_reqcert = never

ldap_search_base = dc=work,dc=local
ldap_default_bind_dn = CN=Shell Auth Lookup,OU=Service Accounts,DC=work,DC=local
ldap_default_authtok_type = password
ldap_default_authtok = password-for-the-proxy-user

ldap_access_filter = (&(objectClass=person)(|(memberOf:1.2.840.113556.1.4.1941:=CN=shell-admins,OU=Groups,DC=work,DC=local)(memberOf:1.2.840.113556.1.4.1941:=CN=shell-access,OU=Groups,DC=work,DC=local)))

После записи файла конфигурации его можно редактировать только с правами root. SSSD немедленно завершит работу, если права доступа отличны от 600, с правами root. 

chmod 600 /etc/sssd/sssd.conf

Включена аутентификация SSSD (в вашем случае вы можете пропустить переключатель для создания домашних каталогов, поскольку он предназначен для использования оболочки). 

authconfig --enablesssd --enablesssdauth --enablemkhomedir --updateall

Запустите службу и включите ее: 

service sssd start && chkconfig enable sssd

См. Также: http://www.gadgeteering.ca/blogs/active-directory-authentication-linux-through-sssd

Если вы хотите вместо этого присоединиться к домену через Kerberos вместо использования LDAP, это статья, которой я следил в своей песочнице: http://theblitzbit.com/2013/04/08/make-red-hat-talk-to-windows/ .

1
ответ дан 3 December 2019 в 10:47

Теги

Похожие вопросы