Венгрия - время обработки Шенгенской визы из Индии

Я пытаюсь проверить подлинность входит от входа LDAP, которые размещены удаленно другой сервер .

входит размещенные на Убунту 14.04.2 ЛЦ (в Linux 3.13.0-48-универсальный архитектуру x86_64) Амазон AWS .

от LDAP-сервера у меня есть эти детали .

пользователей : CN=демонстрацией,DC=LDAP,то ДК=фрагментик,ДК=ком
Пароль : testpasswd
Базовый DN : в DC=LDAP,то ДК=фрагментик в,dc=com в
База пользователей : ОУ=пользователь в,DC=LDAP,то ДК=фрагментик,ДК=ком

и ca_serv.Пэм для проверки подлинности, которые включены в файл/etc/ssl и сертификаты/ и добавил ссылки на файл/etc/LDAP в/с LDAP.конф как TLS_CACERT /и т. д./протокол SSL/сертификаты/ca_serv.УГР

мой файл/etc/Пэм.д/входит , как это .

# Стандартное поведение для ftpd(8).
авторизации требуется pam_listfile.так что пункт=чувство пользователя=запретить файл=файл/etc/ftpusers onerr=успех

# Примечание: входит ручки анонимными логинами на своих. Не включайте pam_ftp.так.

Стандарт № Пэм включает в себя
@включают общие-счета
@включают общие-сессии
@включают общие-авт
авторизации требуется pam_shells.так

авторизации требуется pam_ldap.так
счет требуется pam_ldap.так
сессии достаточно pam_ldap.так
пароль pam_ldap.так
сессии требуется pam_ldap.так

когда я прокомментировал авторизации требуется pam_shells.ssufficiento здесь я больше не могу фтп локальный для пользователей созданы локально.

в /etc/LDAP-сервер.конф файл

###Debconf в###
##
## Настройки этого файла будет управляться debconf как долго, как
## первая строка файла пишет '###debconf в###'
##
## Вы должны использовать dpkg-reconfigure для настроить этот файл через debconf
##

#
# @(#)$Код: в LDAP.конф,в 1.38 2006/05/15 08:13:31 lukeh Ехр $
#
# Это файл конфигурации для LDAP с NameService
# библиотеки переключателя и LDAP-пам-модуль.
#
Программное обеспечение # PADL 
# http://www.padl.com
#

# LDAP-сервере. Должны разрешаться не с помощью LDAP.
# Несколько узлов могут быть определены, отделенных друг от друга 
# космос. Сколько времени занимает nss_ldap для отработки отказа зависит от
# является ли ваш клиент библиотеки LDAP поддерживает настраиваемые
# сеть или подключиться время ожидания (см. bind_timelimit).
#хост 127.0.0.1

# Различающееся имя базы поиска.
#база DC=имя_домена,DC=чистая
основанию DC=LDAP,в постоянного тока=фрагментик в,dc=com в

# Еще один способ указать сервер LDAP для обеспечения
# Домен Unix-сокета для подключения к локальному серверу LDAP.
#Ури в LDAP://127.0.0.1/

Ури виды LDAP://LDAP-сервер.фрагментик.ком:636

# Примечание: %2-ой этаж кодирует '/' используется как разделитель каталогов

# Версия LDAP для использования (по умолчанию 3
# если поддерживается клиентская библиотека)
ldap_version 3

# Различающееся имя для привязки к серверу.
# Опционально: значение по умолчанию для привязки анонимно.
#binddn СN=proxyuser,постоянного тока=padl в,dc=com в

# Учетные данные для привязки. 
# Дополнительно: по умолчанию-нет учетных данных.
#bindpw секрет

# Различающееся имя для привязки к серверу с
# если эффективный идентификатор пользователя корневой. Пароль
# хранятся в /etc/LDAP-сервер.секрет (режим 600)
#rootbinddn СN=менеджер,DC=имя_домена,DC=чистая
rootbindddn СN=ФОО в,DC=LDAP,то ДК=фрагментик,ДК=ком

# Порт.
# Дополнительно: по умолчанию-389.
#порт 389

# Область поиска.
суб область #
#объем один
базовой сферы #

# Время поиска 
#лимит 30

# Связать/соединить промежуток времени
#bind_timelimit 30

Политика переподключение#: жесткий (по умолчанию) будет повторять попытки подключения к
# программное обеспечение с экспоненциально растущим, мягкий не удастся
# сразу.
#bind_policy тяжело

# Простоя промежуток времени; клиент закрывает соединение
# (nss_ldap) если сервер еще не связывались
# количество секунд, указанных ниже.
#idle_timelimit 3600

# Фильтр и с uid=%ы
#pam_filter типа objectclass=аккаунт

# Атрибута id пользователя (по умолчанию ЮИД)
#pam_login_attribute ЮИД

# Поиск корневой DSE для политики паролей (строительство
# с Сервер Netscape каталог)
pam_lookup_policy #да

# Проверить атрибут "хозяин" для контроля доступа 
# По умолчанию-нет; если установлено в да, и пользователь не имеет
значение # для узла атрибута и pam_ldap является
# настроен для управления аккаунтами (авторизация)
# тогда пользователю не будет разрешено войти.
pam_check_host_attr #да

# Проверяем атрибут authorizedService на доступ
контроль # 
# По умолчанию-нет; если установлено в да, и пользователь не имеет
# значение атрибута authorizedService, и
# pam_ldap настроен для управления учетной записью 
# (авторизация), то пользователю не будет разрешено
# для входа.
#pam_check_service_attr да

Группа № для принудительного членства
#pam_groupdn СN=пам,ОУ=группы В,DC=padl,ДК=ком

Атрибут участника группы # 
#элементе uniquemember pam_member_attribute 

# Укажите суриком или максимальное жидкости количество
#pam_min_uid 0
#pam_max_uid 0

# Шаблон входа атрибутов, по умолчанию шаблона пользователя
# (может быть overriden, по значению бывших атрибут
# в записи пользователя)
#pam_login_attribute соответствующим
#pam_template_login_attribute ЮИД
#pam_template_login никто не

# Головы вверх: pam_crypt, pam_nds_passwd,
# и pam_ad_passwd вариантов нет
# больше не поддерживается.
#
# Не хэш-пароль на все; полагаю,
# сервер каталогов будет делать это, если
# необходима. Это по умолчанию.
pam_password мд5

# Хэш пароля локально; необходимое для университета
# Мичиган LDAP-сервер, и работает с Netscape
Сервер каталога # если вы используете Unix, в крипте
# хэш-механизм и не используя НТ синхронизации
служба#. 
#крипта pam_password 

# Удалить сначала старый пароль, затем обновить в
# открытым текстом. Необходимом для использования с Novell
# Служб каталогов (НСР)
#pam_password clear_remove_old
#pam_password нуб

# Racf с это псевдоним для выше. Для использования с
# КОРПОРАЦИЯ IBM RACF С
#pam_password racf с

# Обновление пароля Active Directory, по
# создание пароля Юникод и обновление
атрибут unicodePwd#.
#pam_password объявление
# Использовать OpenLDAP и изменить пароль 
расширенная операция # чтобы обновить пароль.
#pam_password exop

# Перенаправление пользователей на URL-адрес или somesuch на пароль
# изменения.
#pam_password_prohibit_message пожалуйста, посетите http://internal чтобы изменить свой пароль.

# RFC2307bis контекстов именования 
Синтаксис#:
база nss_base_XXX#?области?фильтр
# где размах {база,одна,суб}
# и фильтр-это фильтр &'D с
фильтр # по умолчанию.
# Можно опустить суффикс, например:
# nss_base_passwd ОУ=люди,
# для добавления стандартного базового DN а это
# может понести небольшое влияние на производительность.
#nss_base_passwd ОУ=люди,ДЦ=padl,постоянного тока=ком?один
#nss_base_shadow ОУ=люди,ДЦ=padl,постоянного тока=ком?один
#nss_base_group ОУ=группа в,DC=padl,постоянного тока=ком?один
#nss_base_hosts ОУ=хозяева,постоянного тока=padl,постоянного тока=ком?один
#nss_base_services ОУ=услуги,постоянного тока=padl,постоянного тока=ком?один
#nss_base_networks ОУ=сети постоянного тока=padl,постоянного тока=ком?один
#nss_base_protocols ОУ=протоколы,ДЦ=padl,постоянного тока=ком?один
#nss_base_rpc ОУ=ЭКП,ДЦ=padl,постоянного тока=ком?один
#nss_base_ethers ОУ=эфиры,постоянного тока=padl,постоянного тока=ком?один
#nss_base_netmasks ОУ=сети постоянного тока=padl,постоянного тока=ком?нэ
#nss_base_bootparams ОУ=эфиры,постоянного тока=padl,постоянного тока=ком?один
#nss_base_aliases ОУ=псевдонимы,ДК=padl,постоянного тока=ком?один
#nss_base_netgroup подразделение=объект netgroup,постоянного тока=padl,постоянного тока=ком?один

атрибут # /сопоставление типа objectclass 
Синтаксис#:
#nss_map_attribute rfc2307attribute mapped_attribute
#nss_map_objectclass rfc2307objectclass mapped_objectclass

# настройки --включить-нуб больше не поддерживается.
Отображения # нуб 
#nss_map_attribute член элементе uniquemember 

# Услуги для Unix 3.5 сопоставления
#nss_map_objectclass пользователей posixAccount 
#nss_map_objectclass пользователей shadowAccount 
#nss_map_attribute ЮИД msSFU30Name
#nss_map_attribute элементе uniquemember msSFU30PosixMember
#nss_map_attribute парольпользователя msSFU30Password
#nss_map_attribute msSFU30HomeDirectory homeDirectory 
#nss_map_attribute msSFUHomeDirectory homeDirectory 
группа #nss_map_objectclass posixGroup 
#pam_login_attribute msSFU30Name
#pam_filter objectclass=пользователь
#pam_password объявление

# РЧЦ 2307 (объявление) сопоставления
#nss_map_objectclass пользователей posixAccount 
#nss_map_objectclass пользователей shadowAccount 
#nss_map_attribute ЮИД закоксованного
#nss_map_attribute homeDirectory unixHomeDirectory
#nss_map_attribute shadowLastChange отключении
группа #nss_map_objectclass posixGroup 
#nss_map_attribute член элементе uniquemember 
#pam_login_attribute закоксованного
#pam_filter objectclass=пользователь
#pam_password объявление

# настройки --включить-authpassword больше не поддерживается
# Соотнесения AuthPassword 
#nss_map_attribute парольпользователя authPassword

# Сопоставлений экс SecureWay 
#nss_map_objectclass aixAccount posixAccount 
#nss_base_passwd ОУ=aixaccount,?один
#nss_map_attribute Уид пользователя
#gidNumber nss_map_attribute гид
#nss_map_attribute uidNumber ЮИД
#nss_map_attribute парольпользователя passwordChar
#nss_map_objectclass posixGroup aixAccessGroup
#nss_base_group ОУ=aixgroup,?один
#nss_map_attribute ЦН имя_группы
#nss_map_attribute член элементе uniquemember 
#pam_login_attribute имя пользователя
#pam_filter типа objectclass=aixAccount
#pam_password ясно

# Нетскейп СДК ldaps с
#SSL на

# Нетскейп варианты СДК протокол SSL 
#sslpath /и т. д./протокол SSL/сертификаты

Механизм # OpenLDAP и протокол SSL 
# механизм start_tls использует обычный порт LDAP, ldaps с обычно 636
#протокол SSL start_tls
#SSL на

# OpenLDAP и опции 
# Требовать и проверять сертификат сервера (да/нет)
# По умолчанию используется поведение по умолчанию libldap, который может быть настроен в
# файл /etc/OpenLDAP и/LDAP-сервер.conf при помощи установки TLS_REQCERT. По умолчанию
# OpenLDAP и 2.0 и более ранних версий-это "нет", для 2.1 и выше - "да".
tls_checkpeer #да

Сертификаты # CA для проверки сертификата сервера 
# По крайней мере одно из этих полей являются обязательными, если tls_checkpeer "да"
#tls_cacertfile в /etc/ssl с/ка.свиду
#tls_cacertdir /и т. д./протокол SSL/сертификаты

# Семени ГПСЧ если /dev/urandom не предусмотрено
#tls_randfile /ВАР/работа/ФГДС-бассейн

# SSL для шифрования
# Видеть человека шифры для синтаксиса
#протоколе TLSv1 tls_ciphers 

# Клиентский сертификат и ключ
# Используйте это, если ваш сервер требует проверки подлинности клиента.
#tls_cert
#tls_key

# Отключить слои систем обеспечения безопасности SASL. Это необходимо для рекламы.
#sasl_secprops maxssf=0

# Переопределить Kerberos по умолчанию расположение кэша билета.
файл #krb5_ccname:/и т. д./.ldapcache

Механизм # SASL для проверки подлинности пам - использовать экспериментальные
# в настоящее время и не поддерживает политики паролей, управления
#pam_sasl_mech обзор-MD5

в /etc/LDAP в/с LDAP.конф содержания

#
# По умолчанию в LDAP 
#

# Смотри в LDAP.conf(5) для деталей
# Этот файл должен быть доступен всем, но не для.

База основанию DC=LDAP,то ДК=фрагментик в,dc=com в
#Ури в LDAP://LDAP-сервер.пример.ком в LDAP://LDAP с-мастер.пример.ком:666

Ури виды LDAP://LDAP-сервер.фрагментик.ком виды LDAP://LDAP-сервер.фрагментик.ком:636

#Потребления sizelimit 12
#Лимит 15
#Оператор deref никогда

Сертификаты # для TLS (необходимы для GnuTLS)
TLS_CACERT /и т. д./протокол SSL/сертификаты/ЦС-сертификаты.ЭЛТ
TLS_CACERT /и т. д./протокол SSL/сертификаты/ca_serv.УГР #
# По умолчанию в LDAP 
#

# Смотри в LDAP.conf(5) для деталей
# Этот файл должен быть доступен всем, но не для.

База основанию DC=LDAP,то ДК=фрагментик в,dc=com в
#Ури в LDAP://LDAP-сервер.пример.ком в LDAP://LDAP с-мастер.пример.ком:666
Ури с LDAP://ldap_server_ip в LDAP://ldap_server_ip:666

#Потребления sizelimit 12
#Лимит 15
#Оператор deref никогда

Сертификаты # для TLS (необходимы для GnuTLS)
TLS_CACERT /и т. д./протокол SSL/сертификаты/ЦС-сертификаты.ЭЛТ
TLS_CACERT /и т. д./протокол SSL/сертификаты/ca_serv.УГР
TLS_REQCERT позволяют
TLS_REQCERT позволяют

У меня тоже есть в/etc/LDAP-сервер.секретный файл с паролем для rootbindddn СN=ФОО в,DC=LDAP,то ДК=фрагментик в,dc=com в котором на файл/etc/LDAP-сервер.конф

содержание файла/etc/входит.конф

Пример # конфигурационный файл /etc/входит.конф
#
# По умолчанию компилируются в настройках достаточно параноик. Это образец файла
# разрыхляет вещи немного, чтобы сделать FTP-демона более удобным.
# Пожалуйста, см. входит.конф.5 для всех скомпилированных в значения по умолчанию.
#
# Прочитай это: в этом примере файл не исчерпывающий список опций входит.
# Пожалуйста, прочитайте входит.конф.5 Страница руководства, чтобы получить полное представление о входит в
возможности#.
#
#
# Работать автономно? входит может работать либо от inetd или как самостоятельный
# демон начал с инициализации.
слушать=нет
#
# Автономного запуска с IPv6?
# Как слушать параметра, за исключением входит прослушивал сокета IPv6 
# вместо IPv4 и один. Этот параметр и слушать параметра взаимно
# эксклюзивные.
listen_ipv6=да
#
# Разрешить анонимный FTP? (Отключено по умолчанию)
anonymous_enable=нет
#
# Раскомментируйте это для того, чтобы местные пользователи для входа в систему.
local_enable=да
#
# Раскомментируйте, чтобы включить любые формы команд FTP писать.
write_enable=да
#
Значение umask # по умолчанию для локальных пользователей 077. Вы можете изменить это, чтобы 022,
# если ваши пользователи ожидают, что (022 используется в большинстве других ftpd на это)
#local_umask=022
#
# Раскомментируйте, чтобы разрешить анонимный пользователь FTP для загрузки файлов. Это только
# если выше глобального разрешения записи активируется. Кроме того, вы будете
# очевидно, нужно создать права на запись в каталог пользователя FTP.
#anon_upload_enable=да
#
# Раскомментируйте, если вы хотите, чтобы анонимный FTP пользователь должен иметь возможность создать
# новые каталоги.
#anon_mkdir_write_enable=да
#
# Активировать сообщения каталог - сообщений удаленных пользователей, когда они
# перейти в определенный каталог.
dirmessage_enable=да
#
# Если включено, входит покажет каталогах со временем
# в вашем часовом поясе. По умолчанию отображается по Гринвичу. В
# раз вернулся в команду FTP МДТМ, также страдают от этого
вариант№.
use_localtime=да
#
# Включить протоколирование загрузки.
xferlog_enable=да
#
# Убедитесь, что соединения, трансфер от / до порта исходят из Порт 20 (фтп-данные).
connect_from_port_20=да
#
# Если вы хотите, вы можете организовать анонимный загруженные файлы принадлежат
# другой пользователь. Внимание! Через "корень" для загруженных файлов не
# рекомендую!
chown_uploads #=да
#chown_username=кто
#
# Вы можете изменить место, где лог-файл идет, если вам нравится. По умолчанию отображается
# ниже.
#xferlog_file=/ВАР/лог/входит.журнал
#
# Если вы хотите, вы можете иметь свой лог-файл в стандартном формате ftpd на xferlog.
# Обратите внимание, что расположение журналов по умолчанию это /var/журнал/xferlog в этом случае.
#xferlog_std_format=да
#
# Вы можете изменить значение по умолчанию для времени ожидания простоя сессии.
#idle_session_timeout=600
#
# Вы можете изменить значение по умолчанию для времени ожидания подключения к данным.
#data_connection_timeout=120
#
# Рекомендуется определять в системе уникального пользователя, который
# FTP-сервер можно использовать как полностью изолированная и непривилегированного пользователя.
#nopriv_user=ftpsecure
#
# Включить это и сервер распознает асинхронных запросов АБОР. Не
# рекомендуется для безопасности (код нетривиален). Не позволяя ему,
# однако, может запутать старше FTP-клиенты.
#async_abor_enable=да
#
# По умолчанию сервер будет притворяться, чтобы разрешить режиме ASCII, но на самом деле игнорировать
# запрос. Включите следующие опции сервер на самом деле делать в ASCII
# коверкая на файлы в режиме ASCII.
# Помните, что на некоторых FTP-серверов, поддержка ASCII допускает отказ в обслуживании
атака # (Дос) с помощью команды "размер /большой/" файл в режиме ASCII. входит
# предсказал эту атаку и всегда была в безопасности, отчетности размер
RAW-файл#.
# Коверкая ASCII-это ужасная особенность протокола.
ascii_upload_enable #=да
ascii_download_enable #=да
#
# Вы можете полностью настроить логин строку заголовка:
#ftpd_banner=Добро пожаловать в бла FTP-службы.
# Вы можете указать файл, запрещенных анонимных адресов электронной почты. Видимо
# полезно для борьбы с некоторых DoS-атак.
#deny_email_enable=да
# (по умолчанию следует)
#banned_email_file=/и т. д./входит.banned_emails
#
# Вы можете ограничить доступ местных пользователей к их домашним директориям. Смотрите справку для
# возможные риски в этом перед использованием chroot_local_user или
# chroot_list_enable ниже.
chroot_local_user #=да
#
# Вы можете указать явный список локальных пользователей в chroot() в их дома
каталог#. Если chroot_local_user да, то этот список будет список
# пользователям не из chroot().
# (Внимание! chroot для передоза может быть очень опасно. Если через chroot, убедитесь, что
# у пользователя нет доступа на запись в каталог верхнего уровня в
# chroot-окружения)
chroot_local_user #=да
#chroot_list_enable=да
# (по умолчанию следует)
#chroot_list_file=/и т. д./входит.chroot_list
#
# Вы можете активировать опцию "-R" для группы builtin общ. Это отключить
# по умолчанию, чтобы избежать удаленным пользователям возможность вызвать чрезмерное ввода/вывода на больших
сайты#. Однако, некоторые сломанные FTP-клиенты, такие как "ncftp" и "зеркало" предположить
# наличие опции "-R", а поэтому имеются веские основания для включения его.
ls_recurse_enable #=да
#
Настройки # 
#
# Настройки входит не соответствовать файловую структуру по
# по умолчанию.
#
# Этот параметр должен быть именем каталога, который пуст. Также
каталог # не должен быть доступен для записи пользователя FTP. Этот каталог используется
# как обезопасить вызов chroot() тюрьма порой входит не требует файловой системы
# доступ.
secure_chroot_dir=/ВАР/работа/входит/пустой
#
# Эта строка является именем пам входит служба будет использовать.
pam_service_name=входит
#
# Этот параметр указывает местоположение сертификат RSA для использования SSL
# зашифрованного соединения.
rsa_cert_file=/и т. д./протокол SSL/сертификаты/сертификат SSL-сертификата-snakeoil.УГР
# Этот параметр указывает местоположение ключ RSA для использования SSL
# зашифрованного соединения.
rsa_private_key_file=/и т. д./протокол SSL/частная/протокол SSL-сертификата-snakeoil.ключ
allow_writeable_chroot #=да
#pasv_enable=да
#pasv_min_port=40000
#pasv_max_port=40100

когда я запускаю ldapsearch ldapsearch -х -ч виды LDAP://LDAP-сервер.фрагментик.ком:636 -Б "В DC=LDAP,то ДК=фрагментик в,dc=com" и-Д "СN=ФОО в,DC=LDAP,то ДК=фрагментик в,dc=com", что-ж'testpasswd'

результат ldap_sasl_bind(простой): не могу связаться с сервером LDAP (-1)

также на FTP localhost не говорит по FTP: подключение: подключение отказался'