Centos7 許可權管理和nfs共享,和LDAP管理
基本許可權:r讀取(ls)、w寫入(rm/mv/cp/mkdir/touch)、x可執行(cd)
許可權適用物件(歸屬):所有者u、所屬組g、其他使用者o
設定基本許可權:chmod [-R] 歸屬關係+-許可權類別 文件
例:mkdir -m u+rwx,go-rwx /dir1 chmod u-w,go+rx /dir1 chmod 750 /dir1
設定文件歸屬:chown [-R] 屬主 文件 chown [-R] :屬組 文件 chown [-R] 屬主:屬組 文件
例:chown :adminuser /dir1 chown sarah:root /dir1
acl訪問控制列表:能夠對個別使用者、個別組設定獨立的許可權
文件歸屬的侷限性:任何人只屬於三個角色:屬主、屬組、其他人,無法實現更精細的控制
設定acl訪問控制列表:setfacl [-R] -m u:使用者名稱:許可權類別 文件 setfacl [-R] -m g:組名:許可權類別 文件
檢視acl訪問控制列表:getfacl 文件 清空acl訪問控制列表:setfacl -b 文件
附加許可權:Set UID、Set GID、Sticky Bit
Set UID:附加在屬主的x位上,屬主的許可權標識會變為s,適用於可執行檔案,可以讓使用者具有檔案屬組的身份及部分許可權
Set GID:附加在屬組的x位上,屬組的許可權標識會變為s,適用於可執行檔案,也適用於目錄,可以使目錄下新增的文件自動設定為和父目錄相同的屬組
Sticky Bit:附加在其中人的x位上,其他人的許可權標識會變為t,適用於開放w許可權的目錄,可以阻止使用者濫用w寫入許可權(禁止操作比人的文件)
設定附加許可權:chmod u+s/g+s 文件 chmod o+t 目錄
-
- LDAP認證
LDAP:輕量級目錄訪問協議,由伺服器來集中儲存並向客戶端提供的訊息,儲存方式類似於DNS分層結構,提供的資訊包括:使用者名稱、密碼、通訊錄、主機名對映記錄等
LDAP工作模式:為一組客戶機集中提供可登入的使用者帳號(使用者名稱,密碼資訊儲存在LDAP服務端),客戶機都須加入同一個LDAP域
加入LDAP需要的條件:
1)服務端提供LDAP伺服器地址,基本DN名稱,加密用的證書(若需要) 2)客戶端準備修改使用者登入的驗證方式,啟用LDAP,正確配置LDAP伺服器引數,軟體包sssd、authconfig-gtk
如何加入LDAP域:
第一步:裝包yum -y install sssd authconfig-gtk
第二步:authconfig-gtk配置LDAP認證,輸入LDAP伺服器地址,基本DN名稱,加密用的證書
第三步:1)檢視服務狀態 systemctl status sssd
2)起服務systemctl restart sssd
3)設定服務開機自啟systemctl enable sssd
第四步:驗證LDAP使用者登入 id ldapuser0 su - ldapuser0
NFS共享:網路檔案系統共享,由NFS伺服器將指定的資料夾共享給客戶機,客戶機將此共享目錄mount 到本地目錄,訪問此共享資源就像訪問本地目錄一樣方便,資源是在網上的
如何訪問NFS共享目錄
第一步:檢視NFS資源 showmount -e 伺服器地址
第二步:掛載NFS共享目錄 mount 伺服器地址:目錄路徑 本地掛載點
(前提條件:伺服器已經將LDAP使用者的家目錄通過NFS共享給了客戶機)
第三步:客戶機驗證 su - ldapuser0 或者 ssd LDAP使用者名稱@客戶機地址