LPDA

使用LDAP认证  (了解)
   LDAP服务器: 网络用户    用户的集中管理  ,用户信息由LDAP服务器提供

   LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol

   本地用户: 用户信息由/etc/passwd
   LDAP服务器: classroom.example.com
 
    客户端:虚拟机Server
    1.安装客户端软件sssd,与LDAP网络用户服务器沟通
  [root@server0 /]# yum -y install sssd

    2.安装图形工具 authconfig-gtk 配置sssd
  [root@server0 /]# yum -y install authconfig-gtk 

  [root@server0 /]# exit
    登出
  [root@room9pc01 ~]# ssh -X [email protected]
  [root@server0 ~]# authconfig-gtk 

      选择LDAP
      dc=example,dc=com             #指定服务端域名

      classroom.example.com         #指定服务端主机名

    勾选TLS加密

    使用证书加密:  http://classroom.example.com/pub/example-ca.crt

       选择LDAP密码

    3.重起sssd服务,验证
  [root@server0 ~]# systemctl restart sssd
  [root@server0 ~]# grep 'ldapuser0'  /etc/passwd
  [root@server0 ~]# id ldapuser0
  [root@server0 ~]# id ldapuser1

#######################################################
家目录漫游

• Network File System,网络文件系统
– 由NFS服务器将指定的文件夹共享给客户机
– 客户机将此共享目录 mount 到本地目录,访问此共享

资源就像访问本地目录一样方便

– 类似于 EXT4、XFS等类型,只不过资源在网上
NFS共享服务器:classroom.example.com

  虚拟机Server:
 1.查看classroom有那些共享
[root@server0 ~]# showmount -e classroom.example.com
Export list for classroom:
/home/guests 172.25.0.0/255.255.0.0

2.挂载访问
  # mkdir /nfs
  # ls /nfs
  # mount  classroom.example.com:/home/guests    /nfs
  # ls /nfs
# mkdir /home/guests
# umount /nfs
# ls /nfs
# mount classroom.example.com:/home/guests  /home/guests
# ls /home/guests
# su - ldapuser0

权限和归属

1.基本权限的类别
• 访问方式(权限)
  – 读取:允许查看内容-read    r
  – 写入:允许修改内容-write    w
  – 可执行:允许运行和切换-execute  x

  文本文件的rwx:
           r: cat  less  head  tail  grep 
           w: vim 保存
           x: 可以执行

• 权限适用对象(归属)
– 所有者:拥有此文件/目录的用户-user  u
– 所属组:拥有此文件/目录的组-group      g
– 其他用户:除所有者、所属组以外的用户-other   o
查看权限
• 使用 ls -l 命令
– ls -ld 文件或目录...
  以  -  开头:文本文件
  以 d 开头:目录

  以 l 开头:快捷方式

设置基本权限
• 使用 chmod 命令
– chmod [-R] 归属关系+-=权限类别 文档...
   -R : 递归修改目录下所有内容,及子目录所有内容
[root@server0 ~]# chmod u-w /nsd01
[root@server0 ~]# ls -ld /nsd01

[root@server0 ~]# chmod g+w /nsd01

[root@server0 ~]# ls -ld /nsd01

[root@server0 ~]# chmod u=rwx,g=rwx,o=rwx /nsd01

[root@server0 ~]# ls -ld /nsd01

[root@server0 ~]# chmod ugo=r /nsd01
[root@server0 ~]# ls -ld /nsd01

[root@server0 ~]# chmod ug=rw /nsd01
[root@server0 ~]# ls -ld /nsd01

[root@server0 ~]# chmod -R ugo=r /opt/tarena/
[root@server0 ~]# ls -ld /opt/tarena/

#########################################################

Linux判断用户具备的权限:
     1.判断用户所属的身份(角色)    所有者>所属组>其他人   匹配及停止  (重要)
     2.相应权限位的权限

Permission denied : 权限不足
目录的rwx权限:
目录的 r 权限:能够 ls 浏览此目录内容
目录的 w 权限:能够执行 rm/mv/cp/mkdir/touch/... 等更改目录内容的操作
目录的 x 权限:能够 cd 切换到此目录

#######################################################
以root用户新建/nsddir/目录,在此目录下新建readme.txt文件,并进一步完成下列操作
 1)使用户zhangsan能够在此目录下创建子目录   切换用户  su  -  zhangsan
     chmod o+w  /nsddir/

 2)使用户zhangsan不能够在此目录下创建子目录
     chmod o-w  /nsddir/

 3)使用户zhangsan能够修改readme.txt文件
     chmod o+w  /nsddir/readme.txt

 4)调整此目录的权限,使所有用户都不能cd进入此目录
     chmod u-x,g-x,o-x  /nsddir/

 5)为此目录及其下所有文档设置权限 rwxr-x---
     chmod -R  u=rwx,g=rx,o=---  /nsddir/
#########################################################
设置文档归属
• 使用 chown 命令
– chown [-R]  属主 文档...
– chown [-R] :属组 文档...
– chown [-R] 属主:属组 文档...


[root@server0 /]# mkdir /nsd06
[root@server0 /]# ls -ld /nsd06

[root@server0 /]# useradd tom
[root@server0 /]# groupadd stugrp
[root@server0 /]# chown tom:stugrp  /nsd06
[root@server0 /]# ls -ld /nsd06

[root@server0 /]# chown root /nsd06

[root@server0 /]# ls -ld /nsd06

[root@server0 /]# groupadd tedu
[root@server0 /]# chown :tedu /nsd06
[root@server0 /]# ls -ld /nsd06

########################################################
2.附加权限(特殊权限)

Set GID
• 附加在属组的 x 位上
– 属组的权限标识会变为 s ,如果属组没有x权限,加上附加权限就会变成S
– 适用于目录,Set GID可以使目录下新增的文档自动设置与父目录相同的属组
– 继承所属组身份
[root@server0 /]# mkdir /nsd09
[root@server0 /]# chown :stugrp  /nsd09
[root@server0 /]# ls -ld /nsd09

[root@server0 /]# mkdir /nsd09/test01
[root@server0 /]# ls -ld /nsd09/test01

[root@server0 /]# chmod g+s /nsd09
[root@server0 /]# ls -ld /nsd09

[root@server0 /]# mkdir /nsd09/abc01
[root@server0 /]# ls -ld /nsd09/abc01

#########################################################
 3.acl访问控制列表
 
• acl访问策略
  – 能够对个别用户、个别组设置独立的权限

  – 大多数挂载的EXT3/4、XFS文件系统默认已支持

[root@server0 /]# mkdir /nsd11
[root@server0 /]# chmod o=--- /nsd11
[root@server0 /]# ls -ld /nsd11

[root@server0 /]# su - zhangsan
[zhangsan@server0 ~]$ cd /nsd11
-bash: cd: /nsd11: Permission denied
[zhangsan@server0 ~]$ exit

logout

[root@server0 /]# setfacl -m u:zhangsan:rx /nsd11

[root@server0 /]# su - zhangsan

[zhangsan@server0 ~]$ cd /nsd11
[zhangsan@server0 nsd11]$ pwd
[zhangsan@server0 nsd11]$ exit
##########################################################
– getfacl 文档...   #查看ACL访问控制列表
– setfacl [-R] -m u:用户名:权限类别   文档...     (modify)
– setfacl [-R] -m g:组名:权限类别   文档...

– setfacl [-R] -x u:用户名   文档...      #删除指定ACL  (remove)
– setfacl [-R] -b 文档...                      #清空ACL        (remove  all)

[root@server0 /]# mkdir /nsd12
[root@server0 /]# setfacl -m u:zhangsan:rwx /nsd12  
[root@server0 /]# useradd lisi
[root@server0 /]# setfacl -m u:lisi:rx /nsd12
[root@server0 /]# setfacl -m u:tom:rx /nsd12

[root@server0 /]# getfacl /nsd12
[root@server0 /]# setfacl -x u:lisi  /nsd12   #删除指定用户的ACL
[root@server0 /]# getfacl /nsd12

[root@server0 /]# setfacl -b /nsd12     #删除目录所有的ACL
[root@server0 /]# getfacl /nsd12

#########################################################
[root@server0 /]# ls -ld /public
[root@server0 /]# setfacl -m u:tom:--- /public
[root@server0 /]# getfacl /public

你可能感兴趣的:(LPDA)