权限和归属使用LDAP认证家目录漫游总结和答疑
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了权限和归属使用LDAP认证家目录漫游总结和答疑相关的知识,希望对你有一定的参考价值。
权限和归属
基本权限的类别
? 访问方式(权限)
– 读取:允许查看内容-read r
– 写入:允许修改内容-write w
– 可执行:允许运行和切换-execute x
文本文件:
r: cat less head tail grep
w: vim 保存
x: 可以执行
? 权限适用对象(归属)
– 所有者:拥有此文件/目录的用户-user u
– 所属组:拥有此文件/目录的组-group g
– 其他用户:除所有者、所属组以外的用户-other o
查看权限
? 使用 ls -l 命令
– ls -ld 文件或目录...
以 - 开头:文本文件
以 d 开头:目录
以 l 开头:快捷方式
设置基本权限
? 使用 chmod 命令
– chmod [-R] 归属关系+-=权限类别 文档...
-R : 递归修改目录下所有内容,及子目录所有内容
[[email protected] ~]# mkdir /nsd01
[[email protected] ~]# ls -ld /nsd01
[[email protected] ~]# chmod u-w /nsd01
[[email protected] ~]# ls -ld /nsd01
[[email protected] ~]# chmod g+w /nsd01
[[email protected] ~]# ls -ld /nsd01
[[email protected] ~]# chmod o=--- /nsd01
[[email protected] ~]# ls -ld /nsd01
[[email protected] ~]# chmod u=rwx,g=rwx,o=rwx /nsd01
[[email protected] ~]# ls -ld /nsd01
[[email protected] ~]# ls -ld /nsd01
[[email protected] ~]# chmod ugo=r /nsd01
[[email protected] ~]# ls -ld /nsd01
[[email protected] ~]# chmod ug=rw /nsd01
[[email protected] ~]# ls -ld /nsd01
[[email protected] ~]# mkdir -p /opt/tarena/nsd/nsd1802
[[email protected] ~]# ls -ld /opt/tarena/
[[email protected] ~]# chmod -R ugo=r /opt/tarena/
[[email protected] ~]# ls -ld /opt/tarena/
[[email protected] ~]# ls -ld /opt/tarena/nsd/
[[email protected] ~]# ls -ld /opt/tarena/nsd/nsd1802/
#########################################################
Linux判断用户具备的权限:
1.判断用户所属的身份(角色) 所有者>所属组>其他人 匹配及停止
2.相应权限位的权限
Permission denied : 权限不足
目录的 r 权限:能够 ls 浏览此目录内容
目录的 w 权限:能够执行 rm/mv/cp/mkdir/touch/... 等更改目录内容的操作
目录的 x 权限:能够 cd 切换到此目录
#######################################################
以root用户新建/nsddir/目录,在此目录下新建readme.txt文件,并进一步完成下列操作
1)使用户zhangsan能够在此目录下创建子目录 切换用户 su - zhangsan
chmod o+w /nsddir/
2)使用户zhangsan不能够在此目录下创建子目录
chmod o-w /nsddir/
3)使用户zhangsan能够修改readme.txt文件
chmod o+w /nsddir/readme.txt
4)调整此目录的权限,使所有用户都不能cd进入此目录
chmod u-x,g-x,o-x /nsddir/
5)为此目录及其下所有文档设置权限 rwxr-x---
chmod -R u=rwx,g=rx,o=--- /nsddir/
#########################################################
设置文档归属
? 使用 chown 命令
– chown [-R] 属主 文档...
– chown [-R] :属组 文档...
– chown [-R] 属主:属组 文档...
[[email protected] /]# mkdir /nsd06
[[email protected] /]# ls -ld /nsd06
[[email protected] /]# useradd tom
[[email protected] /]# groupadd stugrp
[[email protected] /]# chown tom:stugrp /nsd06
[[email protected] /]# ls -ld /nsd06
[[email protected] /]# chown root /nsd06
[[email protected] /]# ls -ld /nsd06
[[email protected] /]# groupadd tedu
[[email protected] /]# chown :tedu /nsd06
[[email protected] /]# ls -ld /nsd06
########################################################
附加权限(特殊权限)
Set GID
? 附加在属组的 x 位上
– 属组的权限标识会变为 s
– 适用于目录,Set GID可以使目录下新增的文档自动设置与父目录相同的属组
– 继承所属组身份
[[email protected] /]# mkdir /nsd09
[[email protected] /]# chown :stugrp /nsd09
[[email protected] /]# ls -ld /nsd09
[[email protected] /]# mkdir /nsd09/test01
[[email protected] /]# ls -ld /nsd09/test01
[[email protected] /]# chmod g+s /nsd09
[[email protected] /]# ls -ld /nsd09
[[email protected] /]# mkdir /nsd09/abc01
[[email protected] /]# ls -ld /nsd09/abc01
[[email protected] /]# ls -ld /nsd09/test01
[[email protected] /]# mkdir /nsd09/abc01/nsd
[[email protected] /]# ls -ld /nsd09/abc01/nsd
#########################################################
acl访问控制列表
? acl访问策略
– 能够对个别用户、个别组设置独立的权限
– 大多数挂载的EXT3/4、XFS文件系统默认已支持
[[email protected] /]# mkdir /nsd11
[[email protected] /]# chmod o=--- /nsd11
[[email protected] /]# ls -ld /nsd11
[[email protected] /]# su - zhangsan
[[email protected] ~]$ cd /nsd11
-bash: cd: /nsd11: Permission denied
[[email protected] ~]$ exit
logout
[[email protected] /]# setfacl -m u:zhangsan:rx /nsd11
[[email protected] /]# su - zhangsan
[[email protected] ~]$ cd /nsd11
[[email protected] nsd11]$ pwd
[[email protected] nsd11]$ exit
##########################################################
– getfacl 文档... #查看ACL访问控制列表
– setfacl [-R] -m u:用户名:权限类别 文档...
– setfacl [-R] -m g:组名:权限类别 文档...
– setfacl [-R] -x u:用户名 文档... #删除指定ACL
– setfacl [-R] -b 文档... #清空ACL
[[email protected] /]# mkdir /nsd12
[[email protected] /]# setfacl -m u:zhangsan:rwx /nsd12
[[email protected] /]# useradd lisi
[[email protected] /]# setfacl -m u:lisi:rx /nsd12
[[email protected] /]# setfacl -m u:tom:rx /nsd12
[[email protected] /]# getfacl /nsd12
[[email protected] /]# setfacl -x u:lisi /nsd12 #删除指定用户的ACL
[[email protected] /]# getfacl /nsd12
[[email protected] /]# setfacl -b /nsd12 #删除目录所有的ACL
[[email protected] /]# getfacl /nsd12
#########################################################
[[email protected] /]# ls -ld /public
[[email protected] /]# setfacl -m u:tom:--- /public
[[email protected] /]# getfacl /public
#########################################################
使用LDAP认证
LDAP服务器: 网络用户 用户的集中管理 ,用户信息由LDAP服务器提供
本地用户: 用户信息由/etc/passwdLDAP服务器: cla***oom.example.com
客户端:虚拟机Server
1.安装客户端软件sssd,与LDAP网络用户服务器沟通[[email protected] /]# yum -y install sssd
2.安装图形工具 authconfig-gtk 配置sssd[[email protected] /]# yum -y install authconfig-gtk
[[email protected] /]# exit
登出
[[email protected] ~]# ssh -X [email protected]
[[email protected] ~]# authconfig-gtk
选择LDAP
dc=example,dc=com #指定服务端域名
cla***oom.example.com #指定服务端主机名
勾选TLS加密
使用证书加密: http://cla***oom.example.com/pub/example-ca.crt
选择LDAP密码
3.重起sssd服务,验证[[email protected] ~]# systemctl restart sssd
[[email protected] ~]# grep ‘ldapuser0‘ /etc/passwd
[[email protected] ~]# id ldapuser0
[[email protected] ~]# id ldapuser1
#######################################################
家目录漫游
? Network File System,网络文件系统
– 由NFS服务器将指定的文件夹共享给客户机
– 客户机将此共享目录 mount 到本地目录,访问此共享
资源就像访问本地目录一样方便
– 类似于 EXT4、XFS等类型,只不过资源在网上
NFS共享服务器:cla***oom.example.com
虚拟机Server:
1.查看cla***oom有那些共享
[[email protected] ~]# showmount -e cla***oom.example.com
Export list for cla***oom:
/home/guests 172.25.0.0/255.255.0.0
2.挂载访问
mkdir /nfs
ls /nfs
mount cla***oom.example.com:/home/guests /nfs
ls /nfs
# mkdir /home/guests
# umount /nfs
# ls /nfs
# mount cla***oom.example.com:/home/guests /home/guests
# ls /home/guests
# su - ldapuser0
$ exit#########################################################
以上是关于权限和归属使用LDAP认证家目录漫游总结和答疑的主要内容,如果未能解决你的问题,请参考以下文章