配置附加权限和LDAP

补充:调整root的权限为rwx(读,写,执行)

步骤:采用数值形式将目录/root的权限调整为rwx------

1)查看原来的权限

[root@svr7~]#ls -ld /root/

dr-xr-x---.22 root root 4096 3月26 14:59/root/

2)修改为新权限

[root@svr7~]#chmod 700 /root/

3)确认权限设置结果

[root@svr7~]#ls -ld /root/

drwx------.22 root root 4096 3月26 14:59/root/


案例1:配置附加权限

1.1问题

本例要求创建一个某个组的用户共享使用的目录/home/admins,满足以下要求:

此目录的组所有权是adminuser

adminuser组的成员对此目录有读写和执行的权限,除此以外的其他所有用户没有任何权限(root用户能够访问系统中的所有文件和目录)

在此目录中创建的文件,其组的所有权会自动设置为属于adminuser组

1.2方案

使目录的属组能够向下自动继承,只要对这个目录设置Set GID附件权限即可。

1.3步骤

实现此案例需要按照如下步骤进行。

步骤一:创建目录并调整权限

1)新建文件夹

[root@server0~]#mkdir /home/admins

2)调整并确认权限

[root@server0~]#chown :adminuser /home/admins

[root@server0~]#chmod ug=rwx,o-rwx /home/admins

[root@server0~]#chmod g+s /home/admins

[root@server0~]#ls -ld /home/admins/

drwxrws---.2 root adminuser 6 12月23 23:13/home/admins/

步骤二:验证目录的特性

1)在此目录下新建一个文件

[root@server0~]#touch /home/admins/a.txt

2)查看新建文件的归属,其属组应该与父目录相同

[root@server0~]#ls -lh /home/admins/a.txt

-rw-r--r--.1 root adminuser 0 12月23 23:17/home/admins/a.txt


案例2:配置文档的访问权限

2.1问题

本例要求将文件/etc/fstab拷贝为/var/tmp/fstab,并调整文件/var/tmp/fstab的权限,满足以下要求:

此文件的拥有者是root

此文件属于root组

此文件对任何人都不可执行

用户natasha能够对此文件执行读和写操作

用户harry对此文件既不能读,也不能写

所有其他用户(当前的和将来的)能够对此文件进行读操作

2.2方案

针对个别用户的权限策略,使用setfacl命令进行设置。

2.3步骤

实现此案例需要按照如下步骤进行。

步骤一:复制文件

1)使用cp命令进行复制

[root@server0~]#cp /etc/fstab /var/tmp/fstab

2)确认复制后的权限

[root@server0~]#ls -l /var/tmp/fstab

-rw-r--r--.1 root root 313 12月23 23:01/var/tmp/fstab

说明已经满足案例要求的前三条和最后一条。

步骤二:调整权限

1)增加额外的访问控制策略

[root@server0~]#setfacl -m u:natasha:rw /var/tmp/fstab

[root@server0~]#setfacl -m u:sarah:- /var/tmp/fstab

2)确认结果

[root@server0~]#getfacl /var/tmp/fstab

getfacl:Removing leading'/'from absolute path names

#file:var/tmp/fstab

#owner:root

#group:root

user::rw-

user:natasha:rw-

user:sarah:---

group::r--

mask::rw-

other::r--

[root@server0~]#


案例3:绑定到LDAP验证服务

3.1问题

本例要求配置虚拟机server0使用系统classroom.example.com提供的LDAP服务,相关信息及要求如下:

验证服务的基本DN是:dc=example,dc=com

账户信息和验证信息都是由LDAP提供的

连接要使用证书加密,证书可以在下面的链接下载:http://classroom.example.com/pub/example-ca.crt

当正确完成配置后,用户ldapuser0应该能登录到你的系统,不过暂时没有主目录(需完成autofs题目)

用户ldapuser0的密码是password

3.2方案

需要安装软件包sssd已提供支持。

配置工具可选择默认安装的authconfig-tui,或者使用图形程序authconfig-gtk。

3.3步骤

实现此案例需要按照如下步骤进行。

步骤一:安装支持软件sssd、图形配置authconfig-gtk

[root@server0~]#yum -y install sssd authconfig-gtk

....

步骤二:配置LDAP客户端参数

1)使用authconfig-gtk认证配置工具

打开配置程序(如图-1所示)后,可以看到“Identity&Authentication”窗口。

图1

单击“User Account Database”右侧的下拉框选中“LDAP”,单击“Authentication Method”右侧的下拉框选中“LDAP Password”。然后在“LDAP Search DN”后的文本框内填入指定的基本DN字串“dc=example,dc=com”,在“LDAP Server”后的文本框内填入指定的LDAP服务器地址“classroom.example.com”(如图-2所示)。

图-2

勾选“Use TLS to encrypt connections”前的选框,然后下方的“Download CA Certificate”按钮会变成可用状态,上方的警告消息也会自动消失(如图-3所示)。

图-3

单击“Download CA Certificate”按钮,根据提示填入TLS加密用CA证书的下载地址(http://classroom.example.com/pub/example-ca.crt),然后单击OK回到配置界面,单击右下方的“Apply”按钮(如图-4所示),耐心等待片刻即完成设置,配置程序自动关闭。

图-4

2)确保sssd服务已经运行

只要前一步配置正确,检查sssd服务会发现已经自动运行。

[root@server0~]#systemctl status sssd

sssd.service-System Security Services Daemon

Loaded:loaded(/usr/lib/systemd/system/sssd.service;enabled)

Active:active(running)since Sat 2016-11-26 05:39:21 CST;2min 58s ago

Process:2030 ExecStart=/usr/sbin/sssd-D-f(code=exited,status=0/SUCCESS)

Main PID:2031(sssd)

....

确保sssd服务开机自启。

[root@server0~]#systemctl enable sssd

步骤三:LDAP客户端验证

1)在客户机上能检测到LDAP网络用户

检查ldapuser0的ID值:

[root@server0~]#id ldapuser0

uid=1700(ldapuser0)gid=1700(ldapuser0)groups=1700(ldapuser0)

2)可以su切换到LDAP网络用户

切换到用户ldapuser0并返回:

[root@server0~]#su - ldapuser0

su:warning:cannot change directory to/home/guests/ldapuser0:No such file or directory

mkdir:cannot create directory'/home/guests':Permission denied

-bash-4.2$//成功登入,但没有家目录

-bash-4.2$exit//返回原用户环境

Logout

[root@server0~]#

3)可以使用LDAP网络用户在客户机上登录

以用户ldapuser0,密码password尝试ssh登录到server0:

[root@server0~]#ssh ldapuser0@server0.example.com

The authenticity of host'server0.example.com(172.25.0.11)'can't be established.

ECDSA key fingerprint is

eb:24:0e:07:96:26:b1:04:c2:37:0c:78:2d:bc:b0:08.

Are you sure you want to continue connecting(yes/no)?yes//首次接受密钥

Warning:Permanently added'server0.example.com,172.25.0.11'(ECDSA)to the list of known hosts.

ldapuser0@server0.example.com's password://输入密码password

Last login:Sat Nov 26 05:45:51 2016

Could not chdir to home directory/home/guests/ldapuser0:No such file or directory

mkdir:cannot create directory‘/home/guests’:Permission denied

-bash-4.2$//成功登入,但没有家目录

-bash-4.2$exit//返回原用户环境

logout

Connection to server0.example.com closed.

[root@server0~]#


案例4:配置LDAP家目录漫游

4.1问题

沿用练习3,本例要求手动挂载LDAP用户的家目录,实现漫游的效果。相关信息及要求如下:

主机classroom.example.com已经预先配置好通过NFS输出了/home/guests目录到你的系统,这个文件系统下包含了用户ldapuser0的主目录

ldapuser0的主目录是:classroom.example.com:/home/guests/ldapuser0

ldapuser0的主目录应该挂载到本地的/home/guests/ldapuser0目录下

用户对其主目录必须是可写的

ldapuser0用户的密码是password

4.2步骤

实现此案例需要按照如下步骤进行。

步骤一:挂载LDAP用户的家目录

1)创建挂载点目录

[root@server0~]#mkdir /home/guest/ldapuser0

[root@server0~]#ls /home/guest/ldapuser0

[root@server0~]#//未挂载资源前内容为空

2)挂载NFS资源

[root@server0~]#mount classroom.example.com:/home/guests/ldapuser0/home/guests/ldapuser0/

3)确认挂载结果

[root@server0~]#ls -ld /home/guests/ldapuser0///确认资源归属及权限

drwx------.4 1700 1700 88 7月11 2014/home/guests/ldapuser0/

[root@server0~]#ls -A /home/guests/ldapuser0///root无法查看

ls:无法打开目录/home/guests/ldapuser0/:权限不够

步骤二:验证LDAP用户的家目录漫游

通过su或ssh方式切换到ldapuser0登录,可以发现家目录已经可用了。

[root@server0~]#su - ldapuser0

Last login:Sat Nov 26 06:34:02 CST 2016 from server0.example.com on pts/2

[ldapuser0@server0~]$pwd//成功登入,且位于家目录下

/home/guests/ldapuser0

[ldapuser0@server0~]$exit//返回原用户环境

logout

[root@server0~]#

配置附加权限和LDAP的更多相关文章

  1. 管理员技术(五): 配置文档的访问权限、 配置附加权限、绑定到LDAP验证服务、配置LDAP家目录漫游

    一.配置文档的访问权限 问题: 本例要求将文件 /etc/fstab 拷贝为 /var/tmp/fstab,并调整文件 /var/tmp/fstab的权限,满足以下要求: 1>  此文件的拥有者 ...

  2. 权限管理(基本权限、附加权限、ACL权限)

    基本权限 •访问方式(权限) 读取:允许查看内容-read   r 写入:允许修改内容-write    w 可执行:允许运行和切换-execute  x 对于文本文件 r: cat   head  ...

  3. Linux用户配置sudo权限

    Linux用户配置sudo权限 创建sudo权限用户 #useradd supope #passwd supope #visudo #supope         ALL=(ALL)       AL ...

  4. 配置OpenStack以使用LDAP实现身份管理

    本文展示了如何配置 Keystone,以便使用轻量级目录http://www.aliyun.com/zixun/aggregation/34570.html">访问协议( LDAP)服 ...

  5. 问题(bug)确实不在代码逻辑上面,往往是配置、权限或者业务逻辑之外的地方(转)

    不能说所有的bug都是纸老虎,但往往那种看似很奇葩的bug,导致的原因确实很简单,烦了你一段时间,找到真相又让你忍不住一笑.什么是奇葩的bug呢.我的定义是:代码逻辑都一样,但在A处是好的,到了B处就 ...

  6. sftp配置多用户权限

    sftp配置多用户权限   工作需要,用户上传文件到目录下,用ftp不太安全,选择sftp.让用户在自己的home目录下活动,不能ssh到机器进行操作.   下面开始干活. 查看ssh版本 ssh - ...

  7. ldap配置系列一:ldap的安装

    ldap的安装 ldap的简介 LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP.它是基于X.500标准的,但是简 ...

  8. Spring Security之动态配置资源权限

    在Spring Security中实现通过数据库动态配置url资源权限,需要通过配置验证过滤器来实现资源权限的加载.验证.系统启动时,到数据库加载系统资源权限列表,当有请求访问时,通过对比系统资源权限 ...

  9. 为Druid监控配置访问权限(配置访问监控信息的用户与密码)

    转: l 为Druid监控配置访问权限(配置访问监控信息的用户与密码) 2014-09-26 09:21:48         来源:renfufei的专栏   收藏   我要投稿   Druid是一 ...

随机推荐

  1. 三星最先进EUV产线投用

    近日,三星宣布,在韩国华城工业园新开一条专司 EUV(极紫外光刻)技术的晶圆代工产线 V1,最次量产 7nm. 据悉,V1 产线/工厂 2018 年 2 月动工,2019 年下半年开始测试晶圆生产,首 ...

  2. C语言程序设计(二) C数据类型

    第二章 C数据类型 八进制整数由数字0开头,后跟0~7的数字序列组成. 十六进制整数由数字0加字母x(或X)开头,后跟0~9,a~f(或A~F)的数字序列组成. 整型常量: 默认的int型定义为有符号 ...

  3. QT使用信号量QSemaphore处理大量数据

    实现如下:

  4. 记Android R(SDK=30)系统执行UiAutomator1.0异常

    最近Android发布了AndroidStudio 3.6稳定版,升级后明显能体验到好多细节的提升,最大的提升莫过于可以创建Android R预览版的模拟器了,并且模拟器可以设置多个尺寸的屏幕.And ...

  5. 适用于 macOS 下 2K 显示器开启 HiDPI 的简便解决方案

    前阵子入手了一款2k的显示器用于mbp的拓展屏幕,但由于苹果系统的严格限制,只有在4K及以上显示器上才能开启自带的HiDPI进行缩放以达到retina显示屏的效果.2k显示器下的字体会偏小发虚,使用1 ...

  6. Python3 + requests + unittest接口测试

    一.缘 起 笔者最近完成了基于Python3 + requests + unittest的接口测试脚本,故在此做一下记录,于己为复盘,于彼为学习和参考 二.思 路 接口测试无非三步: 首先,造数据 - ...

  7. 采用最简单的方式在ASP.NET Core应用中实现认证、登录和注销

    在安全领域,认证和授权是两个重要的主题.认证是安全体系的第一道屏障,是守护整个应用或者服务的第一道大门.当访问者请求进入的时候,认证体系通过验证对方的提供凭证确定其真实身份.认证体系只有在证实了访问者 ...

  8. Python3 整数

    imag定义:返回整数的复数形式的虚部(返回整数).格式:intobject.imag real定义:返回整数的复数形式的实部(返回整数).格式:intobject.real conjugate()定 ...

  9. 让 Linux 防火墙新秀 nftables 为你的 VPS 保驾护航

    上篇文章 给大家介绍了 nftables 的优点以及基本的使用方法,它的优点在于直接在用户态把网络规则编译成字节码,然后由内核的虚拟机执行,尽管和 iptables 一样都是基于 netfilter, ...

  10. 物联网 软硬件系统 树莓派 单片机 esp32 小程序 网页 开发 欢迎相互交流学习~

    物联网软硬件开发 知识分享 多年学生项目开发经验 物联网 软硬件系统 树莓派 单片机 esp32 小程序 网页 开发 欢迎相互交流学习~ http://39.105.218.125:9000/