Centos7 权限管理和nfs共享,和LDAP管理
基本权限:r读取(ls)、w写入(rm/mv/cp/mkdir/touch)、x可执行(cd)
权限适用对象(归属):所有者u、所属组g、其他用户o
设置基本权限:chmod [-R] 归属关系+-权限类别 文档
例:mkdir -m u+rwx,go-rwx /dir1 chmod u-w,go+rx /dir1 chmod 750 /dir1
设置文档归属:chown [-R] 属主 文档 chown [-R] :属组 文档 chown [-R] 属主:属组 文档
例:chown :adminuser /dir1 chown sarah:root /dir1
acl访问控制列表:能够对个别用户、个别组设置独立的权限
文档归属的局限性:任何人只属于三个角色:属主、属组、其他人,无法实现更精细的控制
设置acl访问控制列表:setfacl [-R] -m u:用户名:权限类别 文档 setfacl [-R] -m g:组名:权限类别 文档
查看acl访问控制列表:getfacl 文档 清空acl访问控制列表:setfacl -b 文档
附加权限:Set UID、Set GID、Sticky Bit
Set UID:附加在属主的x位上,属主的权限标识会变为s,适用于可执行文件,可以让使用者具有文件属组的身份及部分权限
Set GID:附加在属组的x位上,属组的权限标识会变为s,适用于可执行文件,也适用于目录,可以使目录下新增的文档自动设置为和父目录相同的属组
Sticky Bit:附加在其中人的x位上,其他人的权限标识会变为t,适用于开放w权限的目录,可以阻止用户滥用w写入权限(禁止操作比人的文档)
设置附加权限:chmod u+s/g+s 文档 chmod o+t 目录
-
- LDAP认证
LDAP:轻量级目录访问协议,由服务器来集中存储并向客户端提供的消息,存储方式类似于DNS分层结构,提供的信息包括:用户名、密码、通信录、主机名映射记录等
LDAP工作模式:为一组客户机集中提供可登录的用户帐号(用户名,密码信息存储在LDAP服务端),客户机都须加入同一个LDAP域
加入LDAP需要的条件:
1)服务端提供LDAP服务器地址,基本DN名称,加密用的证书(若需要) 2)客户端准备修改用户登录的验证方式,启用LDAP,正确配置LDAP服务器参数,软件包sssd、authconfig-gtk
如何加入LDAP域:
第一步:装包yum -y install sssd authconfig-gtk
第二步:authconfig-gtk配置LDAP认证,输入LDAP服务器地址,基本DN名称,加密用的证书
第三步:1)查看服务状态 systemctl status sssd
2)起服务systemctl restart sssd
3)设置服务开机自启systemctl enable sssd
第四步:验证LDAP用户登录 id ldapuser0 su - ldapuser0
NFS共享:网络文件系统共享,由NFS服务器将指定的文件夹共享给客户机,客户机将此共享目录mount 到本地目录,访问此共享资源就像访问本地目录一样方便,资源是在网上的
如何访问NFS共享目录
第一步:查看NFS资源 showmount -e 服务器地址
第二步:挂载NFS共享目录 mount 服务器地址:目录路径 本地挂载点
(前提条件:服务器已经将LDAP用户的家目录通过NFS共享给了客户机)
第三步:客户机验证 su - ldapuser0 或者 ssd LDAP用户名@客户机地址