Linux運維之道之admin1.4(權限和歸屬,LADP認證)
admin1.4
權限和歸屬:
基本權限:
基本權限的類別:
訪問方式(權限):
---讀取:允許查看內容--read
(r權限:能夠ls瀏覽此目錄內容)
---寫入:允許修改內容--write
(w權限:能夠執行rm/mv/cp/mkdir/touch等更改目錄內容的操作)
---可執行:允許運行和切換--execute
(x權限:能夠cd切換到此目錄)
權限適用對象:
--所有者:擁有此文件或目錄的用戶 ----user
--所屬組:擁有此文件或目錄的組----group
--其他用戶:除所有者,所屬組以外的用戶----other
查看權限:
#ls -ld 文件或目錄
例:drwxr-xr-x. 4 root root 32 may 7 2014 /user/src
權限位 硬連接數 屬主 屬組 大小 最後修改時間 文件/目錄名稱
設置基本權限:
使用chmod命令:
格式:--chmod -R 歸屬關系+-=權限類別 文檔...
例:
#mkdir -m u+rwx,go-rwx /dir1
#ls -ld /dir1
#chmod u-w,go+rx /dir1
#ls -ld /dir1
設置文檔歸屬:
使用chown命令:
--chown -R 屬主 文檔...
--chown -R : 屬組 文檔...
--chown -R 屬主:屬組 文檔...
例:
#chown -R :admin /dir1
#ls -ld /dir1
#chown -R lalala:root /dir1
#ls ld /dir1
--------------------------------------------------------------------------------------------------
ACL訪問控制策略
acl策略的作用:
文檔歸屬的局限性:
--任何人只屬於三種角色:屬主,屬組,其他人
--無法實現更精細的控制
acl訪問策略:
--能都針對個別用戶,個別組,設置獨立權限;
--大多數掛載EXT3/4,XFS文件系統默認已支持;
設置acl訪問控制策略:
使用getfacl,setfacl命令;
---getfacl 文檔...
---setfacl -R -m u:用戶名:權限類別 文檔....
---setfacl -R -m g:用戶名:權限類別 文檔...
---setfacl -R -b 文檔...
例:
#setfacl -R -m u:student:rwx /dir1 #添加策略
#getfacl /dir1 查看文檔
#setfacl -R -b /dir1 清空文檔
--------------------------------------------------------------------------------------------------
附加權限:
Set UID:
附加在屬主的x位上:
---屬主的權限標識會變為s;
---適用於可執行文件,可以讓文件使用者具有文件屬組的身份及部分權限。
Set GID:
附加在屬組的x位上:
---屬組的權限標識會變為s;
---適用於可執行文件,功能與Set UID類似;
---適用於目錄,Set GID可以是目錄下新增的文檔自動設置與父目錄相同的屬組;
Sticky Bit:
附加在其他人的x位上;
---其他人的權限標識會變為t;
---適用於開放w權限的目錄,可以阻止用戶濫用w寫入權限(禁止操作別人的文檔)
設置附加權限;
#chmod u+s ,g+s /dir1
#chmod o+t 目錄 ...
-----------------------------------------------------------------------------------------------------
使用LDAP認證
LDAP目錄服務:
什麽是LDAP:
輕量級目錄訪問協議:
由服務器來集中存儲並向客戶端提供信息,存儲方式類似於dns分層;
提供的信息包括:用戶名,密碼,通信錄,主機名映射....
典型的LDAP工作模式:
--為一組客戶機集中提供可登陸的用戶帳號
--網絡用戶:用戶名,密碼信息存儲在LDAP服務端;
--這些客戶機都加入同一個LDAP域;
如何加入LDAP域:
加入LDAP需要的條件:
1.服務端提供:
--LDAP服務器地址,基本DN名稱;
--加密用的證書(若需要);
2.客戶端準備:
--修改用戶登錄的驗證方式,啟用LDAP;
--正確配置LDAP服務端參數;
--軟件包:sssd,authconfig-gtk
安裝步驟:
步驟一:安裝支持軟件sssd、圖形配置authconfig-gtk
[root@server0 ~]# yum -y install sssd authconfig-gtk
步驟二:配置LDAP客戶端參數
1)使用authconfig-gtk認證配置工具
打開配置程序(如圖-1所示)後,可以看到“Identity & Authentication”窗口。
單擊“User Account Database”右側的下拉框選中“LDAP”,單擊“Authentication Method”右側的下拉框選中“LDAP Password”。然後在“LDAP Search DN”後的文本框內填入指定的基本DN字串“dc=example,dc=com”,在“LDAP Server”後的文本框內填入指定的LDAP服務器地址“classroom.example.com”
勾選“Use TLS to encrypt connections”前的選框,然後下方的“Download CA Certificate”按鈕會變成可用狀態,上方的警告消息也會自動消失
單擊“Download CA Certificate”按鈕,根據提示填入TLS加密用CA證書的下載地址(http://classroom.example.com/pub/example-ca.crt),然後單擊OK回到配置界面,單擊右下方的“Apply”按鈕(如圖-4所示),耐心等待片刻即完成設置,配置程序自動關閉。
2)確保sssd服務已經運行
只要前一步配置正確,檢查sssd服務會發現已經自動運行
[root@server0 ~]# systemctl status sssd
確保sssd服務開機自啟。
[root@server0 ~]# systemctl enable sssd
步驟三:LDAP客戶端驗證
1)在客戶機上能檢測到LDAP網絡用戶
檢查ldapuser0的ID值:
[root@server0 ~]# id ldapuser0
2)可以su切換到LDAP網絡用戶
切換到用戶ldapuser0並返回:
[root@server0 ~]# su - ldapuser0
3)可以使用LDAP網絡用戶在客戶機上登錄
以用戶ldapuser0,密碼password嘗試ssh登錄到server0:
[root@server0 ~]# ssh [email protected]
本文出自 “Linux運維之道” 博客,請務必保留此出處http://13401400.blog.51cto.com/13391400/1977599
Linux運維之道之admin1.4(權限和歸屬,LADP認證)