Linux运维之道之admin1.4(权限和归属,LADP认证)

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux运维之道之admin1.4(权限和归属,LADP认证)相关的知识,希望对你有一定的参考价值。

admin1.4

权限和归属:

基本权限:

基本权限的类别:

访问方式(权限):

---读取:允许查看内容--read    

(r权限:能够ls浏览此目录内容)

---写入:允许修改内容--write     

(w权限:能够执行rm/mv/cp/mkdir/touch等更改目录内容的操作)

---可执行:允许运行和切换--execute

(x权限:能够cd切换到此目录)

权限适用对象:

--所有者:拥有此文件或目录的用户 ----user

--所属组:拥有此文件或目录的组----group

--其他用户:除所有者,所属组以外的用户----other

查看权限:

#ls -ld  文件或目录

例:drwxr-xr-x.    4    root   root  32   may  7  2014     /user/src

   权限位   硬连接数 属主  属组  大小 最后修改时间     文件/目录名称

设置基本权限:

使用chmod命令:
格式:--chmod  -R  归属关系+-=权限类别   文档...

例:

#mkdir  -m u+rwx,go-rwx  /dir1

#ls -ld /dir1

#chmod  u-w,go+rx  /dir1

#ls -ld /dir1

设置文档归属:

使用chown命令

--chown -R  属主  文档...

--chown -R : 属组  文档...

--chown -R   属主:属组   文档...

例:

#chown -R   :admin   /dir1

#ls   -ld    /dir1

#chown -R    lalala:root   /dir1

#ls   ld    /dir1

--------------------------------------------------------------------------------------------------

ACL访问控制策略

acl策略的作用:

文档归属的局限性:

--任何人只属于三种角色:属主,属组,其他人

--无法实现更精细的控制

acl访问策略:

--能都针对个别用户,个别组,设置独立权限;

--大多数挂载EXT3/4,XFS文件系统默认已支持;

设置acl访问控制策略:

使用getfacl,setfacl命令;

---getfacl  文档...

---setfacl  -R   -m  u:用户名:权限类别   文档....

---setfacl  -R   -m   g:用户名:权限类别  文档...

---setfacl  -R  -b   文档...

例:

#setfacl   -R     -m  u:student:rwx   /dir1         #添加策略

#getfacl  /dir1    查看文档

#setfacl   -R    -b /dir1   清空文档

--------------------------------------------------------------------------------------------------

附加权限:

Set  UID:

附加在属主的x位上:

---属主的权限标识会变为s;

---适用于可执行文件,可以让文件使用者具有文件属组的身份及部分权限。

Set GID:

附加在属组的x位上:

---属组的权限标识会变为s;

---适用于可执行文件,功能与Set UID类似;

---适用于目录,Set GID可以是目录下新增的文档自动设置与父目录相同的属组;

Sticky Bit:

附加在其他人的x位上;

---其他人的权限标识会变为t;

---适用于开放w权限的目录,可以阻止用户滥用w写入权限(禁止操作别人的文档)

设置附加权限;

#chmod u+s ,g+s  /dir1

#chmod  o+t  目录  ...

-----------------------------------------------------------------------------------------------------

使用LDAP认证

LDAP目录服务:

什么是LDAP:

轻量级目录访问协议:

由服务器来集中存储并向客户端提供信息,存储方式类似于dns分层;

提供的信息包括:用户名,密码,通信录,主机名映射....

典型的LDAP工作模式:

--为一组客户机集中提供可登陆的用户帐号

--网络用户:用户名,密码信息存储在LDAP服务端;

--这些客户机都加入同一个LDAP域;

如何加入LDAP域:

加入LDAP需要的条件:
1.服务端提供:

--LDAP服务器地址,基本DN名称;

--加密用的证书(若需要);

2.客户端准备:

--修改用户登录的验证方式,启用LDAP;

--正确配置LDAP服务端参数;

--软件包:sssd,authconfig-gtk

安装步骤:

步骤一:安装支持软件sssd、图形配置authconfig-gtk
[[email protected] ~]# yum  -y  install  sssd  authconfig-gtk
步骤二:配置LDAP客户端参数
1)使用authconfig-gtk认证配置工具
      打开配置程序(如图-1所示)后,可以看到“Identity & Authentication”窗口。
单击“User Account Database”右侧的下拉框选中“LDAP”,单击“Authentication Method”右侧的下拉框选中“LDAP Password”。然后在“LDAP Search DN”后的文本框内填入指定的基本DN字串“dc=example,dc=com”,在“LDAP Server”后的文本框内填入指定的LDAP服务器地址“classroom.example.com”
      勾选“Use TLS to encrypt connections”前的选框,然后下方的“Download CA Certificate”按钮会变成可用状态,上方的警告消息也会自动消失
    单击“Download CA Certificate”按钮,根据提示填入TLS加密用CA证书的下载地址(http://classroom.example.com/pub/example-ca.crt),然后单击OK回到配置界面,单击右下方的“Apply”按钮(如图-4所示),耐心等待片刻即完成设置,配置程序自动关闭。
2)确保sssd服务已经运行
只要前一步配置正确,检查sssd服务会发现已经自动运行
[[email protected] ~]# systemctl  status  sssd
确保sssd服务开机自启。
[[email protected] ~]# systemctl  enable  sssd
步骤三:LDAP客户端验证
1)在客户机上能检测到LDAP网络用户
检查ldapuser0的ID值:
[[email protected] ~]# id  ldapuser0
2)可以su切换到LDAP网络用户
切换到用户ldapuser0并返回:
[[email protected] ~]# su  -  ldapuser0
3)可以使用LDAP网络用户在客户机上登录
以用户ldapuser0,密码password尝试ssh登录到server0:
[[email protected] ~]# ssh  [email protected]




 


本文出自 “Linux运维之道” 博客,请务必保留此出处http://13401400.blog.51cto.com/13391400/1977599

以上是关于Linux运维之道之admin1.4(权限和归属,LADP认证)的主要内容,如果未能解决你的问题,请参考以下文章

Linux运维之道之admin笔记1.0

Linux运维之道之网络基础学习1.2

Linux运维之道之admin1.1

Linux运维之道之admin1.1

Linux运维之道之admin命令罗列(由浅入深)

Linux运维之道之admin选项概览及颜色的代表