Projet

Général

Profil

Multiftp » Historique » Version 1

Version 1/2 - Suivant » - Version actuelle
Gaston TJEBBES, 08/07/2010 11:07


Utilisation de plusieurs ftp Scribe en mode CAS :

Ceci est un exemple d'application, d'autres solutions existent.

Prérequis

Deux serveurs Scribe (scribe1 et scribe2) , avec un serveur au moins ayant l'authentification CAS activée (scribe1 par exemple).

!!! Les comptes des deux serveurs doivent être identique pour permettre le rapprochement.
Si le ftp de scribe2 cherche l'authentification sur scribe1 :
  • Il récupère le login de l'utilisateur (admin par exemple);
  • Il tente de se connecter en local sur /home/a/admin/.ftp.

scribe2 doit avoir le droit d'effectuer des requêtes https vers scribe1.

Configurer l'authentification

Sur le serveur Scribe2, il faut indiquer au serveur ftp de Scribe2 qu'il doit vérifier ses tickets sur le serveur Scribe1.

Certificats

Dans le cas de certificat auto-signé, il faut récupérer la CA utilisé par le serveur CAS de Scribe1 et la placer sur Scribe2 afin que celui-ci puisse contacter le serveur en question.
Sur le serveur Scribe2 :
scp root@scribe1:/etc/ssl/certs/ca.crt /etc/ssl/certs/ca_scribe1.crt

La configuration pam_cas

Rajoutons la configuration pour la validation CAS auprès de Scribe1:
vi /etc/pam_cas_scribe1.conf
et rentrez ceci :

# Le nom de domaine pour accéder au serveur CAS de scribe1
host scribe1.academie.fr
# Le port d'accès
port 8443
# L'url auprès de laquelle valider les tickets
uriValidate /proxyValidate
# Les serveurs CAS eole fonctionnent en https
ssl on
# Le debug s'effectue dans syslog
debug off
# le chemin vers la CA du serveur CAS de scribe1
trusted_ca /etc/ssl/certs/ca_scribe1.crt

La configuration proftpd

Configurons le chargement des modules pam qui vont permettre l'authentification CAS auprès du serveur Scribe1.

Dans le fichier /etc/pam.d/proftpd, nous allons rajouter la configuration que nous avons créer pour avoir le résultat suivant :

#%PAM-1.0
auth sufficient /lib/security/pam_cas.so -sftp://ipscribe2 -f/etc/pam_cas_scribe1.conf
## auth sufficient       pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
auth     sufficient      /lib/security/pam_ldap.so
@include login

Ainsi, lorsque proftpd récupère un login/mot de passe pour la connexion au serveur ftp de scribe2, il va le vérifier auprès du serveur scribe1.

Ajaxplorer

Dans ajaxplorer sur le serveur Scribe1, en admin :

  • Aller dans le menu déroulant en haut à gauche,
  • Choisir "Settings"
  • Dans repositories, cliquer sur "Nouveau Repo"
  • Entrez un libellé
  • Choisir le plugin "FTP Server Cas"
  • Entrez l'ip de votre serveur Scribe2.
  • Dans Encoding mettre "utf-8"
  • Valider
  • Aller dans "users", puis donner les droits de Lecture/écriture aux utilisateurs auxquels vous voulez céder l'accès.