admi5

原创

sweak_h 2017-12-03 15:49:07 ©著作权

文章标签 admin4 文章分类 运维

©著作权归作者所有：来自51CTO博客作者sweak_h的原创作品，请联系作者获取转载授权，否则将追究法律责任

基本权限 • 访问方式(权限) – 读取:允许查看内容-read r – 写入:允许修改内容-write w – 可执行:允许运行和切换-execute x

文本文件：
       r：cat head  tail less
       w：vim 保存
       x：可执行该文件

• 权限适用对象(归属) – 所有者:拥有此文件/目录的用户-user u – 所属组:拥有此文件/目录的组-group g – 其他用户:除所有者、所属组以外的用户-other o

• 使用 ls -l 命令 – ls -ld 文件或目录...

以 - 开头：文本文件以 d 开头：目录以 l 开头：快捷方式

###################################################### • 判断权限

    1. 用户角色                        所有者>所属组>其他人   匹配及停止
    2. 查看相应角色的权限位置

####################################################### 设置基本权限 • 使用 chmod 命令 – chmod [-R] 归属关系+-=权限类别文档...

[root@server0 ~]# mkdir /nsd01 [root@server0 ~]# ls -ld /nsd01

[root@server0 ~]# chmod g+w /nsd01 [root@server0 ~]# ls -ld /nsd01

[root@server0 ~]# chmod u-w /nsd01 [root@server0 ~]# ls -ld /nsd01

[root@server0 ~]# chmod o=rwx /nsd01 [root@server0 ~]# ls -ld /nsd01

[root@server0 ~]# chmod u=rwx,g=rx,o=--- /nsd01 [root@server0 ~]# ls -ld /nsd01

#################################################### 临时切换用户身份： [root@server0 ~]# su - zhangsan

目录的 r 权限:能够 ls 浏览此目录内容目录的 w 权限:能够执行 rm/mv/cp/mkdir/touch/等更改目录内容的操作目录的 x 权限:能够 cd 切换到此目录

################################################### 以root用户新建/nsddir/目录，在此目录下新建readme.txt文件，并进一步完成下列操作 1）使用户zhangsan能够在此目录下创建子目录切换用户 su - zhangsan chmod o+w /nsddir/

2）使用户zhangsan不能够在此目录下创建子目录 chmod o-w /nsddir/

3）使用户zhangsan能够修改readme.txt文件 chmod o+w /nsddir/readme.txt

4）调整此目录的权限，使所有用户都不能进入此目录 chmod u-x,g-x,o-x /nsddir/

5）为此目录及其下所有文档设置权限 rwxr-x--- chmod -R u=rwx,g=rx,o=--- /nsddir/ #################################################### • 使用 chown 命令 – chown [-R] 属主文档... – chown [-R] :属组文档... – chown [-R] 属主:属组文档...

[root@server0 /]# mkdir /nsd03 [root@server0 /]# ls -ld /nsd03

[root@server0 /]# groupadd tarena [root@server0 /]# chown zhangsan:tarena /nsd03 [root@server0 /]# ls -ld /nsd03

[root@server0 /]# chown student /nsd03 [root@server0 /]# ls -ld /nsd03

[root@server0 /]# chown :root /nsd03 [root@server0 /]# ls -ld /nsd03

###################################################

附加权限(特殊权限)

Set GID • 附加在属组的 x 位上 – 属组的权限标识会变为 s – 适用于目录,Set GID可以使目录下新增的文档自动设置与父目录相同的属组(继承) [root@server0 /]# mkdir /nsd06 [root@server0 /]# ls -ld /nsd06 [root@server0 /]# chown :tarena /nsd06

[root@server0 /]# mkdir /nsd06/abc01 [root@server0 /]# ls -ld /nsd06/abc01

[root@server0 /]# chmod g+s /nsd06/ [root@server0 /]# ls -ld /nsd06/

[root@server0 /]# mkdir /nsd06/abc02 [root@server0 /]# ls -ld /nsd06/abc02

################################################## ACL策略权限

acl策略的作用 • 文档归属的局限性 – 任何人只属于三种角色:属主、属组、其他人 – 无法实现更精细的控制

• acl访问策略 – 能够对个别用户、个别组设置独立的权限 – 大多数挂载的EXT3/4、XFS文件系统默认已支持

[root@server0 /]# mkdir /nsd10 [root@server0 /]# ls -ld /nsd10 [root@server0 /]# chmod o=--- /nsd10 [root@server0 /]# ls -ld /nsd10

[root@server0 /]# su - zhangsan [zhangsan@server0 ~]$ cd /nsd10 -bash: cd: /nsd10: Permission denied [zhangsan@server0 ~]$ exit #回到root logout [root@server0 /]# setfacl -m u:zhangsan:rx /nsd10 #设置ACL [root@server0 /]# ls -ld /nsd10 [root@server0 /]# su - zhangsan [zhangsan@server0 ~]$ cd /nsd10 [zhangsan@server0 nsd10]$ pwd [zhangsan@server0 nsd10]$ exit #回到root logout [root@server0 /]#

• 使用 getfacl、setfacl 命令 – getfacl 文档... – setfacl -m u:用户名:权限类别文档... – setfacl -m g:组名:权限类别文档... – setfacl -b 文档... #清除所有的ACL策略 – setfacl -x 文档... #清除指定的ACL策略

[root@server0 /]# getfacl /nsd10 #查看ACL策略的命令 [root@server0 /]# setfacl -m u:natasha:rwx /nsd10 [root@server0 /]# setfacl -m u:lisi:rwx /nsd10 [root@server0 /]# setfacl -m u:kenji:rx /nsd10 [root@server0 /]# getfacl /nsd10

[root@server0 /]# setfacl -x u:kenji /nsd10 [root@server0 /]# getfacl /nsd10

[root@server0 /]# setfacl -b /nsd10 [root@server0 /]# getfacl /nsd10

#####################################################

使用LDAP认证

什么是LDAP? • 轻量级目录访问协议 – Lightweight Directory Access Protocol – 由服务器来集中存储并向客户端提供的信息,存储方式类似于DNS分层结构

– 提供的信息包括:用户名、密码、通信录、主机名映射记录、......

 本地用户:本地/etc/passwd

 网络用户的实现: LDAP服务器

 服务器：classroom.example.com
 
 客户端：server
 1.安装一个客户端软件sssd  与LDAP服务器沟通的软件

[root@server0 /]# yum -y install sssd

 2..安装图形软件authconfig-gtk配置sssd工具

[root@server0 /]# yum -y install authconfig-gtk

 3.运行图形软件authconfig-gtk进行配置

[root@server0 /]# authconfig-gtk

        用户账户数据库：LDAP
LDAP搜索基础DN：dc=example,dc=com
LDAP服务器： classroom.example.com

 钩选：用TLS加密连接
 指定证书加密：
    http://classroom.example.com/pub/example-ca.crt

 认证方法：LDAP密码

 4.重起客户端sssd服务

[root@server0 /]# systemctl restart sssd #重起sssd服务 [root@server0 /]# systemctl enable sssd #设置开机自起

 5.验证：LDAP服务器上用户可以在本地识别

[root@server0 ~]# id ldapuser10 [root@server0 ~]# grep 'ldapuser10' /etc/passwd

二、家目录漫游，在本地访问服务器上的资源,

服务端： classroom.example.com 作了NFS共享文件夹，共享了所有的家目录

客户端：访问共享 [root@server0 ~]# showmount -e classroom.example.com Export list for classroom.example.com: /home/guests 172.25.0.0/255.255.0.0

挂载共享目录，提供访问点

umount /mnt/

mkdir /home/guests

mount classroom:/home/guests/ /home/guests

ls /home/guests

su - ldapuser10

上一篇：admin4

下一篇：admin6

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯