將 vsftpd 首頁放在 Windows AD 共享上
我有外部客戶端通過 Ubuntu 18.04 上的 vsftpd FTP 上傳/下載文件。他們使用 linux 帳戶(不是虛擬帳戶),被 chroot 並且只需要(並且確實)在他們自己的目錄下查看。
現在,他們的家需要以某種方式從 Windows 訪問,以便我們的應用管理員和特定應用操作員(他們是 Windows AD 的正常使用者)查看和可能編輯上傳的內容。
我想將他們的整個 /home 從我們文件伺服器上的 Windows AD 共享中移動,並讓特定的 AD 安全組可以訪問,但我不確定這是否適用於 linux 權限?我明確希望避免通過網路共享 Ubuntu 文件夾。
想法:
- 從 AD 文件伺服器掛載 /home 作為 CIFS 共享。
- vsftpd – FTP 使用者 chroot 到掛載 /home – 每個人都可以讀/寫他們自己的目錄
- Windows AD 使用者 - 可以在其現有共享上查看 Windows 下的目錄,具有適當的 AD 安全組可以讀取/寫入任何主子目錄下的任何文件
這行得通嗎?如果沒有,我還能做什麼?也許我需要轉移到虛擬 vsftpd 使用者?
我已經在 Ubuntu 上安裝了幾個 CIFS 共享,但它們都映射到單個 uid/gid,我不確定 vsftpd 將/如何與上述設置一起使用。
事實證明,即使是虛擬使用者和實際使用者的混合也有效!該指南適用於 Ubuntu 18.04 LTS,但也應適用於其他 Linux,儘管文件位置可能會更改。
因此,一種方法是:
- 在您的 CIFS 伺服器上創建一個適當的目錄並設置一個具有適當權限的 AD 使用者(例如 unix_server_user@domain)。
- 使用 unix_server_user 的 AD 權限和映射到 VSFTPD 伺服器使用者的本地使用者掛載 CIFS 共享。
/etc/fstab
:
//Your_CIFS_Server/share /mnt/cifs_homes cifs credentials=/etc/your_AD_password_data_file,uid=ftpuser,gid=ftpusers,file_mode=0770,dir_mode=0770 0 0
顯然不要忘記將密碼文件設置為只有 root 可以訪問以獲得一些小的安全獎勵。
/etc/vsftpd.conf
至少應該有以下幾行:
local_enable=YES nopriv_user=ftpuser chroot_local_user=YES secure_chroot_dir=/var/run/vsftpd/empty pam_service_name=vsftpd user_config_dir=/etc/vsftpd.userconf
- 您需要修改
/etc/pam.d/vsftpd
以支持虛擬和本地使用者:虛擬使用者:
auth sufficient pam_pwdfile.so pwdfile /etc/vsftpd.passwd account sufficient pam_permit.so
添加虛擬使用者是通過
htpasswd -d
/etc/vsftpd.passwd 文件上的命令完成的。該文件也可以是 root 訪問權限,僅用於一些次要的安全措施。請注意,當使用 htpasswd 時 pam_pwdfile 似乎只支持 vsftpd.passwd 文件的 CRYPT 加密,這是不安全的,因此您應該按照連結中的說明使用 openssl 生成密碼,或者另外至少使用 SSL 或 IP 地址限制來進行 FTP 訪問。
本地使用者:
auth required pam_shells.so
所有這些行都應該與通常的 @include common-* 行以及您在 vsftpd pam 文件中需要的任何其他行一起出現。
為 /etc/vsftpd.conf/ 中命名為使用者的每個本地和虛擬使用者添加文件。
本地使用者應該只有 idle_session_timeout 的正常值或您需要的任何值。他的 homedir 將是通常的 /home 或 /etc/passwd 中設置的任何內容。
除了本地使用者所需的任何內容外,虛擬使用者還應具有以下幾行:
chroot_local_user=YES local_root=/mnt/cifs_homes/$USER user_sub_token=$USER virtual_use_local_privs=YES guest_enable=YES nopriv_user=ftpuser guest_username=ftpusers
你最終得到的是:
從 Windows 端,訪問由您為其設置 AD 權限的任何 AD 使用者和組控制。請記住 unix_server_user@domain 應該具有對其的寫入權限,除非您想要只讀 FTP。
從 Unix 開始,所有虛擬使用者訪問都映射到 ftpuser.ftpusers。本地使用者照常使用 Unix 伺服器 /home。
所有的 FTP 登錄都有各自的 homedir 的 chroot 並且可以在其中讀取和寫入。
在這裡猜測,但我會嘗試 3 種方法:
- 在 Linux 上使用 AD 使用者(可能使用 SSSD)
- 在 vsftpd 上使用虛擬使用者(我認為您需要確保 CIFS 掛載的文件系統文件歸 vsftpd 使用者所有)
- 做相反的事情:安裝 Samba 並讓管理員和操作員通過它訪問文件(更簡單的解決方案恕我直言)