Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Ftp в среде AD

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

py6jlb125



Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем хорошего времени суток!
Есть сервер на CentOS который заведен в домен windows  и работает как файловый сервер а доменной авторизацией. Все работает на ура, папки права пользователи и т.д. Есть необходимость настроить FTP доступ к тем же папкам которые расшарены в сеть, причем доступ на FTP тоже нужен с автоионизацией через AD(и права на папки должны быть те же).  Для реализации поставил vsftpd но ни как не получается сменить каталог и настроить авторизацию через домен! Очень нужна помощь в этом вопросе. Заранее благодарен!
Всего записей: 26 | Зарегистр. 22-09-2009 | Отправлено: 13:31 10-06-2013
ipmanyak



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
py6jlb125 гугль не помог что ли? Поиск - vsftpd active directory
читаем первую ссыль
http://www.gentoo.ru/node/20806
и затем остальные


----------
В сортире лучше быть юзером, чем админом...
Всего записей: 12290 | Зарегистр. 10-12-2003 | Отправлено: 17:38 10-06-2013
Igorr

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не могу посмотреть через интернет (через внешний IP) содержимое своего ftp-сервера - клиент (Total Commander) не двигается после "Download":

Код:
 
...
username=MyUser
startdir=
220 Microsoft FTP Service
USER MyUser
331 Password required
PASS ***********
230 User logged in.
SYST
215 Windows_NT
FEAT
211-Extended features supported:
 LANG EN*
 UTF8
 AUTH TLS;TLS-C;SSL;TLS-P;
 PBSZ
 PROT C;P;
 CCC
 HOST
 SIZE
 MDTM
 REST STREAM
211 END
HELP SITE
214 Syntax: SITE - (site-specific commands)
OPTS UTF8 ON
200 OPTS UTF8 command successful - UTF8 encoding now ON.
Connect ok!
PWD
257 "/" is current directory.
Get directory
TYPE A
200 Type set to A.
PASV
227 Entering Passive Mode ((216,252,91,46,244,198).
PORT 192,168,0,81,141,179
200 PORT command successful.
LIST
150 Opening ASCII mode data connection.
Download

Пассивная или активная мода - без разницы: после "Download" движения нет.
 
Однако через внутренний адрес 192.168.... все работает нормально.
 
FTP сервер (родной, IIS роль) установлен на компе-контроллере домена в WS2012. Комп - за роутером. Порты ВСЕ (для тестирования) открыты в роутере для локального адреса контроллера. MyUser является владельцем каталога FTP и имеет все права.
 
Если в качестве ftp-клиента использую виндоусовский проводник, то он сообщает, что типа Ошибка в открытии папки на FTP сервере, и убедитесь, что вы имеете права доступа к папке. Какие еще нужны права - не знаю.
 
Другие ftp-серверы и ftp-клиенты применять не планируется.
 
Что еще нужно сделать, чтобы нормально подключиться к этому FTP серверу через интернет?
(некоторую инфу в Гугле по установке и настройке FTP сервера в IIS изучил, но ничего не помогает)
Всего записей: 2028 | Зарегистр. 01-05-2002 | Отправлено: 21:51 01-10-2013 | Исправлено: Igorr, 22:44 05-10-2013
golychev



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Igorr
тоесть прям на фтп серваке карта смотрящая в интернет и выключен фаервол?
тогда 100% должно работать.
 
Добавлено:
Igorr
видимо у тебя фтпшник после ответа по внешнему адресу пытается пропихивать данные по внутренним адресам.
 
 
Добавлено:
все нашел... крч зайди в ИИС, выбери СЕРВЕР, в разделе ФТП справа ищи фаервол настройки.. там укажи внешний адрес, ребутни службу и попробуй.
Всего записей: 636 | Зарегистр. 09-02-2005 | Отправлено: 23:52 01-10-2013
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Igorr

Цитата:
Что еще нужно сделать, чтобы нормально подключиться к этому FTP серверу через интернет?
 Долго-долго изучать основы сетевых премудростей и FTP протокол.
Разворачивать FTP сервер за НАТом - сложное и неблагодарное занятие.  

Цитата:
Другие ftp-серверы и ftp-клиенты применять не планируется.  
Тогда задача вообще становится неразрешимой. Использовать глючные виндузовы сервер и клиент в таких условиях - самому себе создавать проблема.
Пример:
Цитата:
PASV  
227 Entering Passive Mode (216,252,91,46,244,198).  
PORT 192,168,0,81,141,179  
200 PORT command successful.  
 
Клиент объявляет пассивный режим, и тут же выдает команду PORT, используемую в активном режиме.
Кто играет, чья гармонь?
К тому же пытаться из-за НАТа подцепиться к внешнему айпи того же самого НАТа - тоже бред еще тот. Такие вещи нужно извне проверять.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17290 | Зарегистр. 13-06-2007 | Отправлено: 00:03 02-10-2013
Igorr

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
golychev

Цитата:
прям на фтп серваке карта смотрящая в интернет и выключен фаервол?  тогда 100% должно работать.
Файервол что включен, что выключен - без разницы.

Цитата:
все нашел... крч зайди в ИИС, выбери СЕРВЕР, в разделе ФТП справа ищи фаервол настройки.. там укажи внешний адрес, ребутни службу и попробуй.
Не помогло - все без изменений.
 
vlary

Цитата:
Долго-долго изучать основы сетевых премудростей и FTP протокол
От изучения сервер точно не подключится. Надо что-то делать клавиатурой и мышью.

Цитата:
Тогда задача вообще становится неразрешимой.
Судя по гуглу, задача решается, если FTP сервер - не на контроллере домена, а надо - на контроллере.
 

Цитата:
Клиент объявляет пассивный режим, и тут же выдает команду PORT, используемую в активном режиме.  

Пассивный режим выключен:

Код:
username=ftpuser
...
startdir=
220 Microsoft FTP Service
USER ftpuser
331 Password required
PASS ***********
230 User logged in.
SYST
215 Windows_NT
FEAT
211-Extended features supported:
 LANG EN*
 UTF8
 AUTH TLS;TLS-C;SSL;TLS-P;
 PBSZ
 PROT C;P;
 CCC
 HOST
 SIZE
 MDTM
 REST STREAM
211 END
HELP SITE
214 Syntax: SITE - (site-specific commands)
OPTS UTF8 ON
200 OPTS UTF8 command successful - UTF8 encoding now ON.
Connect ok!
PWD
257 "/" is current directory.
Get directory
TYPE A
200 Type set to A.
PORT 192,168,0,81,167,76
200 PORT command successful.
LIST
150 Opening ASCII mode data connection.
Download

 

Цитата:
К тому же пытаться из-за НАТа подцепиться к внешнему айпи того же самого НАТа - тоже бред еще тот. Такие вещи нужно извне проверять.  

Бред-не-бред, а с web такой фокус проходит (проверено давным-давно, но тогда не было AD).
Всего записей: 2028 | Зарегистр. 01-05-2002 | Отправлено: 00:23 02-10-2013
golychev



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Igorr
дай имя и пароль тестового юзера проверю.
 
Добавлено:
и попробуй ребутнуть сервер...
Всего записей: 636 | Зарегистр. 09-02-2005 | Отправлено: 00:32 02-10-2013
Igorr

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
golychev
Спасибо, но я уже проверил - картина точно такая же.
Всего записей: 2028 | Зарегистр. 01-05-2002 | Отправлено: 00:40 02-10-2013
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Igorr
Цитата:
От изучения сервер точно не подключится. Надо что-то делать клавиатурой и мышью.  
"Да что тут думать? Трясти надо!" (с) анекдот про прапорщика.
Цитата:
но тогда не было AD
В огороде бузина, в Киеве дядька...
FTP и AD - это две совершенно независимые друг от друга вещи. Что-то не припомню я, чтобы в RFC 959 AD вообще упоминалась.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17290 | Зарегистр. 13-06-2007 | Отправлено: 01:01 02-10-2013
golychev



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Igorr
vlary
думаю проблема dnsная.. когда ты обращаешься изнутри, сервак отдает тебе адрес вторичного подключения типа ad.dom.local а когда снаружи, при переходе в пассв то имя резолвится во внутренний адрес, недоступный снаружи.
 
Добавлено:
vlary

Цитата:
FTP и AD - это две совершенно независимые друг от друга вещи.

протоколы то да, но когда заливаешь службу АД на сервер его политики безопасности меняются и это может сказаться на работе служб.. поэтому на ГК обычно ничего не ставят кроме принт сервера...
Всего записей: 636 | Зарегистр. 09-02-2005 | Отправлено: 01:16 02-10-2013
Igorr

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
спасибо за желание помочь, но если есть что полезное сказать - скажите, а так, я, как объект для выливания ваших познаний, явно не подхожу - могу не оценить.
Вы видимо не поняли, что подключение к FTP серверу ЕСТЬ. Нет извлечения информации из FTP каталога, т.е. возможно не хватает каких-то прав на получение этой информации.
 
Добавлено:
golychev
Интересная штука: если пытаюсь подключиться через имядомена\юзер - подключение проходит, а если имякомпа\юзер - подключения нет, т.е. почему-то нет локального юзера, хотя в юзерах компа он есть(?)
Всего записей: 2028 | Зарегистр. 01-05-2002 | Отправлено: 01:21 02-10-2013
artemk

Full Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Igorr

Цитата:
Интересная штука: если пытаюсь подключиться через имядомена\юзер - подключение проходит, а если имякомпа\юзер - подключения нет, т.е. почему-то нет локального юзера, хотя в юзерах компа он есть(?)

вот в этом месте, наверное, нужно идти изучать...
 
авторизация какая?
 
"имякомпа\юзер" есть в пользователях FTP сервера?
Всего записей: 600 | Зарегистр. 02-02-2006 | Отправлено: 03:29 02-10-2013
Igorr

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
artemk

Цитата:
вот в этом месте, наверное, нужно идти изучать...  

Да, именно в этом и копаю. Соединение с FTP сервером происходит только, если используются имена "юзер" или "имядомена\юзер". "имякомпа\юзер" не распознается даже если я его указываю при создании FTP сайта! Пробовал пристегивать юзера в различные группы, включая в админы и админы домена, но результат незначительный: для админов лог TC-а не меняется, а виндоусовский проводник больше не говорит, что нет прав доступа, но показывает пустой каталог, хотя файлы в нем есть.
 
Добавлено:
В гугле прочел инфу, что на просмотр каталога извне тоже надо указывать имя пользователя и пароль, хотя дополнительного окна ввода нет. В cmd-окне ftp команда тоже виснет после dir:

Код:
200 PORT command successful.  
150 Opening ASCII mode data connection.

Видимо надо как-то суметь еще раз пристегнуть username и password к ftp-запросу, или где-то в политиках выключить это дополнительное требование на авторизацию доступа к каталогу, если инфа с гугла верна.
Всего записей: 2028 | Зарегистр. 01-05-2002 | Отправлено: 04:06 02-10-2013 | Исправлено: Igorr, 08:29 02-10-2013
golychev



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Igorr
когда ставишь АД на сервак, его локальные юзеры пропадают, остаются только доменные.
Всего записей: 636 | Зарегистр. 09-02-2005 | Отправлено: 11:59 02-10-2013
Igorr

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
golychev
Уже предоставлял юзеру право быть локальным как описано здесь (хоть кое-что и не совпадает, но разобраться можно), но это не помогло.
Предполагаю, что надо изменить "правило" требовать дополнительную авторизацию доступа на каталог извне, если это возможно.
Всего записей: 2028 | Зарегистр. 01-05-2002 | Отправлено: 17:47 02-10-2013
golychev



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Уже предоставлял юзеру право быть локальным как описано здесь

эта статья относится к выньдоус2000 а у вас 2008... и вообще она тут непричем, вам надо надо заходить только под доменными пользователмя и давать доступ на папку надо только им.
Всего записей: 636 | Зарегистр. 09-02-2005 | Отправлено: 18:26 02-10-2013
Igorr

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
golychev

Цитата:
эта статья относится к выньдоус2000 а у вас 2008

Да я знаю, потому и написал, что кое-что не совпадает, но ее рекомендации работают и на моем не 2008, а 2012 сервере. Заодно увидел какие пользователи имеют локальный доступ, ну и добавил к ним ftpuser, но толку 0.

Цитата:
надо заходить только под доменными пользователмя и давать доступ на папку надо только им
Так и делается, т.к. только так и устанавливается соединение с FTP сервером, ftpuser делается собственником этой папки, ему дается доступ на чтение/запись, и более того, эта папка еще и расшаривается, но ... эффект 0-ой.
Всего записей: 2028 | Зарегистр. 01-05-2002 | Отправлено: 18:52 02-10-2013
Igorr

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
golychev
Вы оказались правы:
Цитата:
думаю проблема dnsная..  
Спасибо; проблема решилась.
Всего записей: 2028 | Зарегистр. 01-05-2002 | Отправлено: 08:51 04-10-2013
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Ftp в среде AD


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru