Linux运维之道之admin1.4（权限和归属，LADP认证）

Posted 2020-10-12

admin1.4

权限和归属：

基本权限：

基本权限的类别：

访问方式（权限）：

---读取：允许查看内容--read    

（r权限：能够ls浏览此目录内容）

---写入：允许修改内容--write     

（w权限：能够执行rm/mv/cp/mkdir/touch等更改目录内容的操作）

---可执行：允许运行和切换--execute

（x权限：能够cd切换到此目录）

权限适用对象：

--所有者：拥有此文件或目录的用户 ----user

--所属组：拥有此文件或目录的组----group

--其他用户：除所有者，所属组以外的用户----other

查看权限：

#ls -ld  文件或目录

例：drwxr-xr-x.    4    root   root  32   may  7  2014     /user/src

   权限位   硬连接数 属主  属组  大小 最后修改时间     文件/目录名称

设置基本权限：

使用chmod命令：
格式：--chmod  -R  归属关系+-=权限类别   文档...

例：

#mkdir  -m u+rwx，go-rwx  /dir1

#ls -ld /dir1

#chmod  u-w,go+rx  /dir1

#ls -ld /dir1

设置文档归属：

使用chown命令：

--chown -R  属主  文档...

--chown -R ： 属组  文档...

--chown -R   属主：属组   文档...

例：

#chown -R   ：admin   /dir1

#ls   -ld    /dir1

#chown -R    lalala：root   /dir1

#ls   ld    /dir1

--------------------------------------------------------------------------------------------------

ACL访问控制策略

acl策略的作用：

文档归属的局限性：

--任何人只属于三种角色：属主，属组，其他人

--无法实现更精细的控制

acl访问策略：

--能都针对个别用户，个别组，设置独立权限；

--大多数挂载EXT3/4,XFS文件系统默认已支持；

设置acl访问控制策略：

使用getfacl，setfacl命令；

---getfacl  文档...

---setfacl  -R   -m  u:用户名：权限类别   文档....

---setfacl  -R   -m   g：用户名：权限类别  文档...

---setfacl  -R  -b   文档...

例：

#setfacl   -R     -m  u：student：rwx   /dir1         #添加策略

#getfacl  /dir1    查看文档

#setfacl   -R    -b /dir1   清空文档

--------------------------------------------------------------------------------------------------

附加权限：

Set  UID：

附加在属主的x位上：

---属主的权限标识会变为s；

---适用于可执行文件，可以让文件使用者具有文件属组的身份及部分权限。

Set GID：

附加在属组的x位上：

---属组的权限标识会变为s；

---适用于可执行文件，功能与Set UID类似；

---适用于目录，Set GID可以是目录下新增的文档自动设置与父目录相同的属组；

Sticky Bit:

附加在其他人的x位上；

---其他人的权限标识会变为t；

---适用于开放w权限的目录，可以阻止用户滥用w写入权限（禁止操作别人的文档）

设置附加权限;

#chmod u+s ,g+s  /dir1

#chmod  o+t  目录  ...

-----------------------------------------------------------------------------------------------------

使用LDAP认证

LDAP目录服务：

什么是LDAP：

轻量级目录访问协议：

由服务器来集中存储并向客户端提供信息，存储方式类似于dns分层；

提供的信息包括：用户名，密码，通信录，主机名映射....

典型的LDAP工作模式：

--为一组客户机集中提供可登陆的用户帐号

--网络用户：用户名，密码信息存储在LDAP服务端；

--这些客户机都加入同一个LDAP域；

如何加入LDAP域：

加入LDAP需要的条件：
1.服务端提供：

--LDAP服务器地址，基本DN名称；

--加密用的证书（若需要）；

2.客户端准备:

--修改用户登录的验证方式，启用LDAP；

--正确配置LDAP服务端参数；

--软件包：sssd，authconfig-gtk

安装步骤：

步骤一：安装支持软件sssd、图形配置authconfig-gtk
[[email protected] ~]# yum  -y  install  sssd  authconfig-gtk
步骤二：配置LDAP客户端参数
1）使用authconfig-gtk认证配置工具
      打开配置程序（如图-1所示）后，可以看到“Identity & Authentication”窗口。
单击“User Account Database”右侧的下拉框选中“LDAP”，单击“Authentication Method”右侧的下拉框选中“LDAP Password”。然后在“LDAP Search DN”后的文本框内填入指定的基本DN字串“dc=example,dc=com”，在“LDAP Server”后的文本框内填入指定的LDAP服务器地址“classroom.example.com”
      勾选“Use TLS to encrypt connections”前的选框，然后下方的“Download CA Certificate”按钮会变成可用状态，上方的警告消息也会自动消失
    单击“Download CA Certificate”按钮，根据提示填入TLS加密用CA证书的下载地址（http://classroom.example.com/pub/example-ca.crt），然后单击OK回到配置界面，单击右下方的“Apply”按钮（如图-4所示），耐心等待片刻即完成设置，配置程序自动关闭。
2）确保sssd服务已经运行
只要前一步配置正确，检查sssd服务会发现已经自动运行
[[email protected] ~]# systemctl  status  sssd
确保sssd服务开机自启。
[[email protected] ~]# systemctl  enable  sssd
步骤三：LDAP客户端验证
1）在客户机上能检测到LDAP网络用户
检查ldapuser0的ID值：
[[email protected] ~]# id  ldapuser0
2）可以su切换到LDAP网络用户
切换到用户ldapuser0并返回：
[[email protected] ~]# su  -  ldapuser0
3）可以使用LDAP网络用户在客户机上登录
以用户ldapuser0，密码password尝试ssh登录到server0：
[[email protected] ~]# ssh  [email protected]

 

本文出自 “Linux运维之道” 博客，请务必保留此出处http://13401400.blog.51cto.com/13391400/1977599