admin1.4
权限和归属:
基本权限:
基本权限的类别:
访问方式(权限):
---读取:允许查看内容--read
(r权限:能够ls浏览此目录内容)
---写入:允许修改内容--write
(w权限:能够执行rm/mv/cp/mkdir/touch等更改目录内容的操作)
---可执行:允许运行和切换--execute
(x权限:能够cd切换到此目录)
权限适用对象:
--所有者:拥有此文件或目录的用户 ----user
--所属组:拥有此文件或目录的组----group
--其他用户:除所有者,所属组以外的用户----other
查看权限:
#ls -ld 文件或目录
例:drwxr-xr-x. 4 root root 32 may 7 2014 /user/src
权限位 硬连接数 属主 属组 大小 最后修改时间 文件/目录名称
设置基本权限:
使用chmod命令:
格式:--chmod -R 归属关系+-=权限类别 文档...
例:
#mkdir -m u+rwx,go-rwx /dir1
#ls -ld /dir1
#chmod u-w,go+rx /dir1
#ls -ld /dir1
设置文档归属:
使用chown命令:
--chown -R 属主 文档...
--chown -R : 属组 文档...
--chown -R 属主:属组 文档...
例:
#chown -R :admin /dir1
#ls -ld /dir1
#chown -R lalala:root /dir1
#ls ld /dir1
--------------------------------------------------------------------------------------------------
ACL访问控制策略
acl策略的作用:
文档归属的局限性:
--任何人只属于三种角色:属主,属组,其他人
--无法实现更精细的控制
acl访问策略:
--能都针对个别用户,个别组,设置独立权限;
--大多数挂载EXT3/4,XFS文件系统默认已支持;
设置acl访问控制策略:
使用getfacl,setfacl命令;
---getfacl 文档...
---setfacl -R -m u:用户名:权限类别 文档....
---setfacl -R -m g:用户名:权限类别 文档...
---setfacl -R -b 文档...
例:
#setfacl -R -m u:student:rwx /dir1 #添加策略
#getfacl /dir1 查看文档
#setfacl -R -b /dir1 清空文档
--------------------------------------------------------------------------------------------------
附加权限:
Set UID:
附加在属主的x位上:
---属主的权限标识会变为s;
---适用于可执行文件,可以让文件使用者具有文件属组的身份及部分权限。
Set GID:
附加在属组的x位上:
---属组的权限标识会变为s;
---适用于可执行文件,功能与Set UID类似;
---适用于目录,Set GID可以是目录下新增的文档自动设置与父目录相同的属组;
Sticky Bit:
附加在其他人的x位上;
---其他人的权限标识会变为t;
---适用于开放w权限的目录,可以阻止用户滥用w写入权限(禁止操作别人的文档)
设置附加权限;
#chmod u+s ,g+s /dir1
#chmod o+t 目录 ...
-----------------------------------------------------------------------------------------------------
使用LDAP认证
LDAP目录服务:
什么是LDAP:
轻量级目录访问协议:
由服务器来集中存储并向客户端提供信息,存储方式类似于dns分层;
提供的信息包括:用户名,密码,通信录,主机名映射....
典型的LDAP工作模式:
--为一组客户机集中提供可登陆的用户帐号
--网络用户:用户名,密码信息存储在LDAP服务端;
--这些客户机都加入同一个LDAP域;
如何加入LDAP域:
加入LDAP需要的条件:
1.服务端提供:
--LDAP服务器地址,基本DN名称;
--加密用的证书(若需要);
2.客户端准备:
--修改用户登录的验证方式,启用LDAP;
--正确配置LDAP服务端参数;
--软件包:sssd,authconfig-gtk
安装步骤:
步骤一:安装支持软件sssd、图形配置authconfig-gtk
[root@server0 ~]# yum -y install sssd authconfig-gtk
步骤二:配置LDAP客户端参数
1)使用authconfig-gtk认证配置工具
打开配置程序(如图-1所示)后,可以看到“Identity & Authentication”窗口。
单击“User Account Database”右侧的下拉框选中“LDAP”,单击“Authentication Method”右侧的下拉框选中“LDAP Password”。然后在“LDAP Search DN”后的文本框内填入指定的基本DN字串“dc=example,dc=com”,在“LDAP Server”后的文本框内填入指定的LDAP服务器地址“classroom.example.com”
勾选“Use TLS to encrypt connections”前的选框,然后下方的“Download CA Certificate”按钮会变成可用状态,上方的警告消息也会自动消失
单击“Download CA Certificate”按钮,根据提示填入TLS加密用CA证书的下载地址(http://classroom.example.com/pub/example-ca.crt),然后单击OK回到配置界面,单击右下方的“Apply”按钮(如图-4所示),耐心等待片刻即完成设置,配置程序自动关闭。
2)确保sssd服务已经运行
只要前一步配置正确,检查sssd服务会发现已经自动运行
[root@server0 ~]# systemctl status sssd
确保sssd服务开机自启。
[root@server0 ~]# systemctl enable sssd
步骤三:LDAP客户端验证
1)在客户机上能检测到LDAP网络用户
检查ldapuser0的ID值:
[root@server0 ~]# id ldapuser0
2)可以su切换到LDAP网络用户
切换到用户ldapuser0并返回:
[root@server0 ~]# su - ldapuser0
3)可以使用LDAP网络用户在客户机上登录
以用户ldapuser0,密码password尝试ssh登录到server0:
[root@server0 ~]# ssh ldapuser0@server0.example.com
本文出自 “Linux运维之道” 博客,请务必保留此出处http://13401400.blog.51cto.com/13391400/1977599
Linux运维之道之admin1.4(权限和归属,LADP认证)
原文地址:http://13401400.blog.51cto.com/13391400/1977599
