Linux運維之道之admin1.4（權限和歸屬，LDAP認證）

admin1.4

權限和歸屬：

基本權限：

基本權限的類別：

訪問方式（權限）：

---讀取：容許查看內容--read    

（r權限：可以ls瀏覽此目錄內容）

---寫入：容許修改內容--write     

（w權限：可以執行rm/mv/cp/mkdir/touch等更改目錄內容的操做）

---可執行：容許運行和切換--execute

（x權限：可以cd切換到此目錄）

權限適用對象：

--全部者：擁有此文件或目錄的用戶 ----user

--所屬組：擁有此文件或目錄的組----group

--其餘用戶：除全部者，所屬組之外的用戶----other

查看權限：

#ls -ld  文件或目錄

例：drwxr-xr-x.    4    root   root  32   may  7  2014     /user/src

   權限位   硬鏈接數 屬主  屬組  大小 最後修改時間     文件/目錄名稱

設置基本權限：

使用chmod命令：
格式：--chmod  -R  歸屬關係+-=權限類別   文檔...

例：

#mkdir  -m u+rwx，go-rwx  /dir1

#ls -ld /dir1

#chmod  u-w,go+rx  /dir1

#ls -ld /dir1

設置文檔歸屬：

使用chown命令：

--chown -R  屬主  文檔...

--chown -R ： 屬組  文檔...

--chown -R   屬主：屬組   文檔...

例：

#chown -R   ：admin   /dir1

#ls   -ld    /dir1

#chown -R    lalala：root   /dir1

#ls   ld    /dir1

--------------------------------------------------------------------------------------------------

ACL訪問控制策略

acl策略的做用：

文檔歸屬的侷限性：

--任何人只屬於三種角色：屬主，屬組，其餘人

--沒法實現更精細的控制

acl訪問策略：

--能都針對個別用戶，個別組，設置獨立權限；

--大多數掛載EXT3/4,XFS文件系統默認已支持；

設置acl訪問控制策略：

使用getfacl，setfacl命令；

---getfacl  文檔...

---setfacl  -R   -m  u:用戶名：權限類別   文檔....

---setfacl  -R   -m   g：用戶名：權限類別  文檔...

---setfacl  -R  -b   文檔...

例：

#setfacl   -R     -m  u：student：rwx   /dir1         #添加策略

#getfacl  /dir1    查看文檔

#setfacl   -R    -b /dir1   清空文檔

--------------------------------------------------------------------------------------------------

附加權限：

Set  UID：

附加在屬主的x位上：

---屬主的權限標識會變爲s；

---適用於可執行文件，可讓文件使用者具備文件屬組的身份及部分權限。

Set GID：

附加在屬組的x位上：

---屬組的權限標識會變爲s；

---適用於可執行文件，功能與Set UID相似；

---適用於目錄，Set GID能夠是目錄下新增的文檔自動設置與父目錄相同的屬組；

Sticky Bit:

附加在其餘人的x位上；

---其餘人的權限標識會變爲t；

---適用於開放w權限的目錄，能夠阻止用戶濫用w寫入權限（禁止操道別人的文檔）

設置附加權限;

#chmod u+s ,g+s  /dir1

#chmod  o+t  目錄  ...

-----------------------------------------------------------------------------------------------------

使用LDAP認證

LDAP目錄服務：

什麼是LDAP：

輕量級目錄訪問協議：

由服務器來集中存儲並向客戶端提供信息，存儲方式相似於dns分層；

提供的信息包括：用戶名，密碼，通訊錄，主機名映射....

典型的LDAP工做模式：

--爲一組客戶機集中提供可登錄的用戶賬號

--網絡用戶：用戶名，密碼信息存儲在LDAP服務端；

--這些客戶機都加入同一個LDAP域；

如何加入LDAP域：

加入LDAP須要的條件：
1.服務端提供：

--LDAP服務器地址，基本DN名稱；

--加密用的證書（若須要）；

2.客戶端準備:

--修改用戶登陸的驗證方式，啓用LDAP；

--正確配置LDAP服務端參數；

--軟件包：sssd，authconfig-gtk

安裝步驟：

步驟一：安裝支持軟件sssd、圖形配置authconfig-gtk
[root@server0 ~]# yum  -y  install  sssd  authconfig-gtk
步驟二：配置LDAP客戶端參數
1）使用authconfig-gtk認證配置工具
      打開配置程序（如圖-1所示）後，能夠看到「Identity & Authentication」窗口。
單擊「User Account Database」右側的下拉框選中「LDAP」，單擊「Authentication Method」右側的下拉框選中「LDAP Password」。而後在「LDAP Search DN」後的文本框內填入指定的基本DN字串「dc=example,dc=com」，在「LDAP Server」後的文本框內填入指定的LDAP服務器地址「cla***oom.example.com」
      勾選「Use TLS to encrypt connections」前的選框，而後下方的「Download CA Certificate」按鈕會變成可用狀態，上方的警告消息也會自動消失
    單擊「Download CA Certificate」按鈕，根據提示填入TLS加密用CA證書的下載地址（http://cla***oom.example.com/pub/example-ca.crt），而後單擊OK回到配置界面，單擊右下方的「Apply」按鈕（如圖-4所示），耐心等待片刻即完成設置，配置程序自動關閉。
2）確保sssd服務已經運行
只要前一步配置正確，檢查sssd服務會發現已經自動運行
[root@server0 ~]# systemctl  status  sssd
確保sssd服務開機自啓。
[root@server0 ~]# systemctl  enable  sssd
步驟三：LDAP客戶端驗證1）在客戶機上能檢測到LDAP網絡用戶檢查ldapuser0的ID值：[root@server0 ~]# id  ldapuser02）能夠su切換到LDAP網絡用戶切換到用戶ldapuser0並返回：[root@server0 ~]# su  -  ldapuser03）可使用LDAP網絡用戶在客戶機上登陸以用戶ldapuser0，密碼password嘗試ssh登陸到server0：[root@server0 ~]# ssh  ldapuser0@server0.example.com