Linux运维之道之admin1.4（权限和归属，LDAP认证）

admin1.4

权限和归属：

基本权限：

基本权限的类别：

访问方式（权限）：

---读取：容许查看内容--read    

（r权限：可以ls浏览此目录内容）

---写入：容许修改内容--write     

（w权限：可以执行rm/mv/cp/mkdir/touch等更改目录内容的操做）

---可执行：容许运行和切换--execute

（x权限：可以cd切换到此目录）

权限适用对象：

--全部者：拥有此文件或目录的用户 ----user

--所属组：拥有此文件或目录的组----group

--其余用户：除全部者，所属组之外的用户----other

查看权限：

#ls -ld  文件或目录

例：drwxr-xr-x.    4    root   root  32   may  7  2014     /user/src

   权限位   硬链接数 属主  属组  大小 最后修改时间     文件/目录名称

设置基本权限：

使用chmod命令：
格式：--chmod  -R  归属关系+-=权限类别   文档...

例：

#mkdir  -m u+rwx，go-rwx  /dir1

#ls -ld /dir1

#chmod  u-w,go+rx  /dir1

#ls -ld /dir1

设置文档归属：

使用chown命令：

--chown -R  属主  文档...

--chown -R ： 属组  文档...

--chown -R   属主：属组   文档...

例：

#chown -R   ：admin   /dir1

#ls   -ld    /dir1

#chown -R    lalala：root   /dir1

#ls   ld    /dir1

--------------------------------------------------------------------------------------------------

ACL访问控制策略

acl策略的做用：

文档归属的局限性：

--任何人只属于三种角色：属主，属组，其余人

--没法实现更精细的控制

acl访问策略：

--能都针对个别用户，个别组，设置独立权限；

--大多数挂载EXT3/4,XFS文件系统默认已支持；

设置acl访问控制策略：

使用getfacl，setfacl命令；

---getfacl  文档...

---setfacl  -R   -m  u:用户名：权限类别   文档....

---setfacl  -R   -m   g：用户名：权限类别  文档...

---setfacl  -R  -b   文档...

例：

#setfacl   -R     -m  u：student：rwx   /dir1         #添加策略

#getfacl  /dir1    查看文档

#setfacl   -R    -b /dir1   清空文档

--------------------------------------------------------------------------------------------------

附加权限：

Set  UID：

附加在属主的x位上：

---属主的权限标识会变为s；

---适用于可执行文件，可让文件使用者具备文件属组的身份及部分权限。

Set GID：

附加在属组的x位上：

---属组的权限标识会变为s；

---适用于可执行文件，功能与Set UID相似；

---适用于目录，Set GID能够是目录下新增的文档自动设置与父目录相同的属组；

Sticky Bit:

附加在其余人的x位上；

---其余人的权限标识会变为t；

---适用于开放w权限的目录，能够阻止用户滥用w写入权限（禁止操道别人的文档）

设置附加权限;

#chmod u+s ,g+s  /dir1

#chmod  o+t  目录  ...

-----------------------------------------------------------------------------------------------------

使用LDAP认证

LDAP目录服务：

什么是LDAP：

轻量级目录访问协议：

由服务器来集中存储并向客户端提供信息，存储方式相似于dns分层；

提供的信息包括：用户名，密码，通讯录，主机名映射....

典型的LDAP工做模式：

--为一组客户机集中提供可登录的用户账号

--网络用户：用户名，密码信息存储在LDAP服务端；

--这些客户机都加入同一个LDAP域；

如何加入LDAP域：

加入LDAP须要的条件：
1.服务端提供：

--LDAP服务器地址，基本DN名称；

--加密用的证书（若须要）；

2.客户端准备:

--修改用户登陆的验证方式，启用LDAP；

--正确配置LDAP服务端参数；

--软件包：sssd，authconfig-gtk

安装步骤：

步骤一：安装支持软件sssd、图形配置authconfig-gtk
[root@server0 ~]# yum  -y  install  sssd  authconfig-gtk
步骤二：配置LDAP客户端参数
1）使用authconfig-gtk认证配置工具
      打开配置程序（如图-1所示）后，能够看到“Identity & Authentication”窗口。
单击“User Account Database”右侧的下拉框选中“LDAP”，单击“Authentication Method”右侧的下拉框选中“LDAP Password”。而后在“LDAP Search DN”后的文本框内填入指定的基本DN字串“dc=example,dc=com”，在“LDAP Server”后的文本框内填入指定的LDAP服务器地址“cla***oom.example.com”
      勾选“Use TLS to encrypt connections”前的选框，而后下方的“Download CA Certificate”按钮会变成可用状态，上方的警告消息也会自动消失
    单击“Download CA Certificate”按钮，根据提示填入TLS加密用CA证书的下载地址（http://cla***oom.example.com/pub/example-ca.crt），而后单击OK回到配置界面，单击右下方的“Apply”按钮（如图-4所示），耐心等待片刻即完成设置，配置程序自动关闭。
2）确保sssd服务已经运行
只要前一步配置正确，检查sssd服务会发现已经自动运行
[root@server0 ~]# systemctl  status  sssd
确保sssd服务开机自启。
[root@server0 ~]# systemctl  enable  sssd
步骤三：LDAP客户端验证1）在客户机上能检测到LDAP网络用户检查ldapuser0的ID值：[root@server0 ~]# id  ldapuser02）能够su切换到LDAP网络用户切换到用户ldapuser0并返回：[root@server0 ~]# su  -  ldapuser03）可使用LDAP网络用户在客户机上登陆以用户ldapuser0，密码password尝试ssh登陆到server0：[root@server0 ~]# ssh  ldapuser0@server0.example.com