基本許可權：r讀取（ls）、w寫入（rm/mv/cp/mkdir/touch）、x可執行（cd）

許可權適用物件（歸屬）：所有者u、所屬組g、其他使用者o

設定基本許可權：chmod [-R] 歸屬關係+-許可權類別 文件

例：mkdir -m u+rwx,go-rwx /dir1    chmod u-w,go+rx /dir1    chmod 750 /dir1

設定文件歸屬：chown [-R] 屬主 文件     chown [-R] :屬組 文件    chown [-R] 屬主：屬組 文件

例：chown :adminuser /dir1    chown sarah:root /dir1   

acl訪問控制列表：能夠對個別使用者、個別組設定獨立的許可權

文件歸屬的侷限性：任何人只屬於三個角色：屬主、屬組、其他人，無法實現更精細的控制

設定acl訪問控制列表：setfacl [-R] -m u:使用者名稱:許可權類別 文件   setfacl [-R] -m g:組名:許可權類別 文件

檢視acl訪問控制列表：getfacl 文件 清空acl訪問控制列表：setfacl -b 文件

附加許可權：Set UID、Set GID、Sticky Bit

Set UID：附加在屬主的x位上，屬主的許可權標識會變為s，適用於可執行檔案，可以讓使用者具有檔案屬組的身份及部分許可權

Set GID：附加在屬組的x位上，屬組的許可權標識會變為s，適用於可執行檔案，也適用於目錄，可以使目錄下新增的文件自動設定為和父目錄相同的屬組

Sticky Bit：附加在其中人的x位上，其他人的許可權標識會變為t，適用於開放w許可權的目錄，可以阻止使用者濫用w寫入許可權（禁止操作比人的文件）

設定附加許可權：chmod u+s/g+s  文件         chmod o+t 目錄

• • LDAP認證

LDAP：輕量級目錄訪問協議，由伺服器來集中儲存並向客戶端提供的訊息，儲存方式類似於DNS分層結構，提供的資訊包括：使用者名稱、密碼、通訊錄、主機名對映記錄等

LDAP工作模式：為一組客戶機集中提供可登入的使用者帳號（使用者名稱，密碼資訊儲存在LDAP服務端），客戶機都須加入同一個LDAP域

加入LDAP需要的條件：

1）服務端提供LDAP伺服器地址，基本DN名稱，加密用的證書（若需要）   2）客戶端準備修改使用者登入的驗證方式，啟用LDAP，正確配置LDAP伺服器引數，軟體包sssd、authconfig-gtk

如何加入LDAP域：

第一步：裝包yum -y install sssd authconfig-gtk

第二步：authconfig-gtk配置LDAP認證，輸入LDAP伺服器地址，基本DN名稱，加密用的證書

第三步：1）檢視服務狀態 systemctl status sssd

2)起服務systemctl restart sssd

3)設定服務開機自啟systemctl enable sssd

第四步：驗證LDAP使用者登入 id ldapuser0       su - ldapuser0

NFS共享：網路檔案系統共享，由NFS伺服器將指定的資料夾共享給客戶機，客戶機將此共享目錄mount 到本地目錄，訪問此共享資源就像訪問本地目錄一樣方便，資源是在網上的

如何訪問NFS共享目錄

第一步：檢視NFS資源 showmount -e 伺服器地址

第二步：掛載NFS共享目錄 mount 伺服器地址：目錄路徑   本地掛載點

（前提條件：伺服器已經將LDAP使用者的家目錄通過NFS共享給了客戶機）

第三步：客戶機驗證 su - ldapuser0  或者  ssd LDAP使用者名稱@客戶機地址