Admin（五）——权限、LDAP、NFS共享

一、权限和归属 1.基本权限 1.1.基本权限的类别 访问方式（权限）： --读取：-r 允许查看内容 --写入：-w 允许修改内容 --可执行：-x 允许运行和切换

权限适用对象（归属） --所有者：-u 属主，拥有此文件/目录的用户 --所属组：-g 属组，拥有此文件/目录的组 --其他用户：-o 除所有者、所属组以外的用户

1.2.查看权限 使用ls -l命令 #ls -ld 文件或目录 例如： #ls -ld /ect/resolv.conf 结果为：-rw-rw-r--. 1 root root 27 5月 16 18:45 /etc/resolv.conf

各字段代表的意思： 权限位 硬连接数 属主 属组 大小 最后修改时间 文件/目录名称 权限位各位置的意义： 类型- 属主rw- 属组rw- 其他人r--

1.3.设置基本权限 使用chmod命令 chmod -[R] 归属关系+-=权限类别 文档... 或者使用数字来改变权限（rwx分别由4 2 1 表示）： 000：--------- 400：r-------- 600：rw------- 700：rwx------ 740：rwxr----- 760：rwxrw---- 770：rwxrwx--- 774：rwxrwxr-- 776：rwxrwxrw- 777：rwxrwxrwx 例如： #mkdir /opt/aa #ls /opt/aa #chmod -R g+w /opt/aa 或chmod -R 770 /opt/aa #ls /opt/aa

1.4.设置文档归属 即是修改所有者和所属组 使用chown命令 修改属主和属组： chown [-R] xiaoha : study /文档 修改属主： chown [-R] xiaoha01 /文档 修改属组： chown [-R] : study01 /文档

2. 特殊权限 Set GID 2.1 附加在属组的X位 适用于目录，set GID 可以使目录下新增的文档自动设置与父目录相同的属组 该权限位附加在属组的x位上，属组的权限标识会变为s(原先有x则变为小写s，原先没有x则变为大写S) 用法： 例如创建一个目录xiaohashuo #mkdir /xiaohashuo #chown : xiaoha /xiaohashuo //更改目录的所属组为xiaoha #ls -ld /xiaohashuo //查看目录的所属组 #chmod g+s /xiaohashuo //增加附加权限 #mkdir /xiaohashuo/test01 //创建子目录 #ls -ld /xiaohashuo/test01 //查看子目录的所属组

2.2 附加在所有者的X位 适用于可执行文件，可以让使用者具有文件属主的身份及部分权限。属主的权限标识会变为s。 用法： 例如可执行文件/usr/bin/mkdir 可用来创建目录

#cp /usr/bin/mkdir /usr/bin/xiaohadir //拷贝该文件并改名为xiaohadir，该文件也可用来创建目录 #ls -l /usr/bin/xiaohadir
#chmod u+s /usr/bin/xiaohadir //给该文件所有者添加特殊权限 #ls -l /usr/bin/xiaohadir //查看是否添加成功 #su - student //用student 用户登陆 $/usr/bin/mkdir test01 //student可以在当前目录下用/usr/bin/mkdir创建文件（不能在根下创建目录） $ ls -l //查看文件所有者和所属组都是student $/usr/bin/xiaohadir test02 //student可以用该文件创建文件 $ ls -l //发现test02的所有者是root而不是student

2.3附加权限Sticky Bit（t权限） 附加在其他人的X位上，其他人的权限标识会变为t，适用于开放W权限的目录，可以阻止用户滥用w写入权限（禁止操作别人的文档） 例如：假设系统根目录下有目录public,该目录对任何人都具有rwx权限，如果有三个用户分别登陆系统，这些用户就可以随意的删除或创建该目录下的内容，加了t权限就可以禁止操作别人的文档，用户只能操作自己家目录的内容。 #mkdir /public #chmod o+t /public //给其他人添加t权限 #ls -l /public

3.acl访问控制策略 能够对个别用户、个别组设置独立的权限 使用setfacl、getfacl命令 用法： setfacl -m u:用户名：权限类别 /文档 setfacl -m g:组名：权限类别 /文档 setfacl -x u:用户名 /文档 //删除指定的acl setfacl -b 文档 //删除所有的acl策略

例如:
#chmod  o=---   /xiaohashuo/test02       //更改目录的其他人权限
#useradd xiaoha                   //创建用户xiaoha
#su  -   xiaoha                       //用户xiaoha登陆
#cd /xiaohashuo/test02                 //访问被拒绝
#exit                           //切回root登陆
#setfacl  -m  u : xiaoha : rx    /xiaohashuo/test02      //给xiaoha对该目录的r-x权限
#ls  -ld    /xiaohashuo/test02        //发现权限为的末尾有个+号
#su - xiaoha                //xiaoha登陆
#cd   /xiaohashuo/test02            //此时xiaoha有该目录的执行权限



二、使用LDAP认证
LDAP——轻量级目录访问协议，由服务器来集中存储并向客户端提供的信息，存储方式类似于DNS分层结构。提供的信息包括：用户名、密码、通信录、主机名映射记录等。
1.LDAP目录服务

为一组客户机集中提供可登陆的用户账号（网络用户），用户名和密码信息存储在LDAP服务端，这些客户机都加入同一个LDAP域。 2.加入LDAP需要的条件 服务端提供： --LDAP服务器地址、基本DN名称 --加密用的证书 客户端准备： --修改用户登录的验证方式，启用LDAP --正确配置LDAP服务端参数 --软件包：sssd、authconfig-gtk 客户端步骤： (1).安装sssd (与LDAP服务器沟通的软件) #yum -y install sssd (2)安装authconfig-gtk(用户认证配置工具，用来配置sssd) (3)运行authconfig-gtk进行配置 #authconfig-gtk 用户账户数据库：LDAP 认证方式：LDAP密码 LDAP搜索基础DN（域名）： dc= ,dc= (用逗号隔开) LDAP服务器：服务器完整名称 勾选用TLS加密连接，指定证书加密 (4)重启客户端sssd服务 #systemctl restart sssd #systemctl enable sssd (5)验证LDAP服务器上用户可以在本地识别

 三、家目录漫游
 在本地访问服务器上的资源
 1.访问NFS共享
 NFS(network File System),网络文件系统
 由NFS服务器将指定的文件夹共享给客户机，客户机将此共享目录mount到本地目录，访问此共享资源就像访问本地目录一样方便。类似于EXT4、XFS等类型，只不过资源在网上
 #showmount  -e  服务器地址     //查看NFS资源
 #mount   服务器地址：目录路径  本地挂载点      //挂载NFS共享目录