管理员技术(五): 配置文档的访问权限、 配置附加权限、绑定到LDAP验证服务、配置LDAP家目录漫游

一、配置文档的访问权限

问题:

本例要求将文件 /etc/fstab 拷贝为 /var/tmp/fstab,并调整文件 /var/tmp/fstab的权限,满足以下要求:

1>  此文件的拥有者是 root
       2> 此文件属于 root 组
       3> 此文件对任何人都不可执行
       4> 用户 natasha 能够对此文件执行读和写操作
       5> 用户 harry 对此文件既不能读,也不能写
       6> 所有其他用户(当前的和将来的)能够对此文件进行读操作

方案:

针对个别用户的权限策略,使用setfacl命令进行设置。

步骤:

步骤一:复制文件

1)使用cp命令进行复制

[[email protected] ~]# cp  /etc/fstab  /var/tmp/fstab

2)确认复制后的权限

[[email protected] ~]# ls  -l  /var/tmp/fstab
    -rw-r--r--. 1 root root 313 12月 23 23:01 /var/tmp/fstab
说明已经满足案例要求的前三条和最后一条。

步骤二:调整权限

1)增加额外的访问控制策略

[[email protected] ~]# setfacl  -m  u:natasha:rw  /var/tmp/fstab
    [[email protected] ~]# setfacl  -m  u:sarah:-  /var/tmp/fstab

2)确认结果

[[email protected] ~]# getfacl  /var/tmp/fstab
    getfacl: Removing leading ‘/‘ from absolute path names
    # file: var/tmp/fstab
    # owner: root
    # group: root
    user::rw-
    user:natasha:rw-
    user:sarah:---
    group::r--
    mask::rw-
    other::r--
    [[email protected] ~]#

二、配置附加权限

问题:

本例要求创建一个某个组的用户共享使用的目录 /home/admins,满足以下要求:

1> 此目录的组所有权是 adminuser
         2> adminuser 组的成员对此目录有读写和执行的权限,除此以外的其他所有用户没有任何权限(root用户能够访问系统中的所有文件和目录)
         3> 在此目录中创建的文件,其组的所有权会自动设置为属于 adminuser 组

方案:

使目录的属组能够向下自动继承,只要对这个目录设置Set GID附件权限即可。

步骤:

步骤一:创建目录并调整权限

1)新建文件夹

[[email protected] ~]# mkdir  /home/admins

2)调整并确认权限

[[email protected] ~]# chown  :adminuser /home/admins
    [[email protected] ~]# chmod  ug=rwx,o-rwx  /home/admins
    [[email protected] ~]# chmod  g+s  /home/admins
    [[email protected] ~]# ls  -ld  /home/admins/
    drwxrws---. 2 root adminuser 6 12月 23 23:13 /home/admins/

步骤二:验证目录的特性

1)在此目录下新建一个文件

[[email protected] ~]# touch  /home/admins/a.txt

2)查看新建文件的归属,其属组应该与父目录相同

[[email protected] ~]# ls  -lh  /home/admins/a.txt
    -rw-r--r--. 1 root adminuser 0 12月 23 23:17 /home/admins/a.txt

三、绑定到LDAP验证服务

问题:

本例要求配置虚拟机server0使用系统classroom.example.com提供的LDAP服务,相关信息及要求如下:

1> 验证服务的基本DN是:dc=example,dc=com
       2> 账户信息和验证信息都是由 LDAP 提供的
       3> 连接要使用证书加密,证书可以在下面的链接下载:http://classroom.example.com/pub/example-ca.crt
       4> 当正确完成配置后,用户 ldapuser0 应该能登录到你的系统,不过暂时没有主目录(需完成 autofs 题目)
       5> 用户 ldapuser0 的密码是 password

方案:

需要安装软件包sssd已提供支持。

配置工具可选择默认安装的authconfig-tui,或者使用图形程序authconfig-gtk。

步骤:

步骤一:安装支持软件sssd、图形配置authconfig-gtk

[[email protected] ~]# yum  -y  install  sssd  authconfig-gtk
    .. ..

步骤二:配置LDAP客户端参数

1)使用authconfig-gtk认证配置工具

打开配置程序(如下图所示)后,可以看到“Identity & Authentication”窗口。

单击“User Account Database”右侧的下拉框选中“LDAP”,单击“Authentication Method”右侧的下拉框选中“LDAP Password”。然后在“LDAP Search DN”后的文本框内填入指定的基本DN字串“dc=example,dc=com”,在“LDAP Server”后的文本框内填入指定的LDAP服务器地址“classroom.example.com”(如下图所示)。

勾选“Use TLS to encrypt connections”前的选框,然后下方的“Download CA Certificate”按钮会变成可用状态,上方的警告消息也会自动消失(如下图所示)。

单击“Download CA Certificate”按钮,根据提示填入TLS加密用CA证书的下载地址(http://classroom.example.com/pub/example-ca.crt),然后单击OK回到配置界面,单击右下方的“Apply”按钮(如下图所示),耐心等待片刻即完成设置,配置程序自动关闭。

2)确保sssd服务已经运行

只要前一步配置正确,检查sssd服务会发现已经自动运行。

[[email protected] ~]# systemctl  status  sssd
    sssd.service - System Security Services Daemon
       Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled)
       Active: active (running) since Sat 2016-11-26 05:39:21 CST; 2min 58s ago
      Process: 2030 ExecStart=/usr/sbin/sssd -D -f (code=exited, status=0/SUCCESS)
     Main PID: 2031 (sssd)
    .. ..

确保sssd服务开机自启。

[[email protected] ~]# systemctl  enable  sssd

步骤三:LDAP客户端验证

1)在客户机上能检测到LDAP网络用户

检查ldapuser0的ID值:

[[email protected] ~]# id  ldapuser0
    uid=1700(ldapuser0) gid=1700(ldapuser0) groups=1700(ldapuser0)

2)可以su切换到LDAP网络用户

切换到用户ldapuser0并返回:

[[email protected] ~]# su  -  ldapuser0
    su: warning: cannot change directory to /home/guests/ldapuser0: No such file or directory
    mkdir: cannot create directory ‘/home/guests‘: Permission denied
    -bash-4.2$                                         //成功登入,但没有家目录
    -bash-4.2$ exit                                     //返回原用户环境
    Logout
    [[email protected] ~]#

3)可以使用LDAP网络用户在客户机上登录

以用户ldapuser0,密码password尝试ssh登录到server0:

[[email protected] ~]# ssh  [email protected]
    The authenticity of host ‘server0.example.com (172.25.0.11)‘ can‘t be established.
    ECDSA key fingerprint is eb:24:0e:07:96:26:b1:04:c2:37:0c:78:2d:bc:b0:08.
    Are you sure you want to continue connecting (yes/no)? yes          //首次接受密钥
    Warning: Permanently added ‘server0.example.com,172.25.0.11‘ (ECDSA) to the list of known hosts.
    [email protected]‘s password:              //输入密码password
    Last login: Sat Nov 26 05:45:51 2016
    Could not chdir to home directory /home/guests/ldapuser0: No such file or directory
    mkdir: cannot create directory ‘/home/guests’: Permission denied
    -bash-4.2$                                          //成功登入,但没有家目录
    -bash-4.2$ exit                                     //返回原用户环境
    logout
    Connection to server0.example.com closed.
    [[email protected] ~]#

四、配置LDAP家目录漫游

问题:

沿用练习3,本例要求手动挂载 LDAP 用户的家目录,实现漫游的效果。相关信息及要求如下:

1> 主机 classroom.example.com 已经预先配置好通过NFS输出了/home/guests 目录到你的系统,这个文件系统下包含了用户 ldapuser0 的主目录
        2> ldapuser0 的主目录是:classroom.example.com:/home/guests/ldapuser0
        3> ldapuser0 的主目录应该挂载到本地的 /home/guests/ldapuser0 目录下
        4> 用户对其主目录必须是可写的
        5> ldapuser0 用户的密码是 password

步骤:

步骤一:挂载LDAP用户的家目录

1)创建挂载点目录

[[email protected] ~]# mkdir  /home/guest/ldapuser0
    [[email protected] ~]# ls   /home/guest/ldapuser0
    [[email protected] ~]#                              //未挂载资源前内容为空

2)挂载NFS资源

[[email protected] ~]# mount classroom.example.com:/home/guests/ldapuser0 /home/guests/ldapuser0/

3)确认挂载结果

[[email protected] ~]# ls  -ld  /home/guests/ldapuser0/      //确认资源归属及权限
    drwx------. 4 1700 1700 88 7月  11 2014 /home/guests/ldapuser0/
    [[email protected] ~]# ls  -A  /home/guests/ldapuser0/          //root无法查看
    ls: 无法打开目录/home/guests/ldapuser0/: 权限不够

步骤二:验证LDAP用户的家目录漫游

通过su或ssh方式切换到ldapuser0登录,可以发现家目录已经可用了。

[[email protected] ~]# su  -  ldapuser0
    Last login: Sat Nov 26 06:34:02 CST 2016 from server0.example.com on pts/2
    [[email protected] ~]$ pwd                     //成功登入,且位于家目录下
    /home/guests/ldapuser0
    [[email protected] ~]$ exit                     //返回原用户环境
    logout
    [[email protected] ~]#

原文地址:https://www.cnblogs.com/baichuanhuihai/p/8232640.html

时间: 2024-10-10 15:53:12

管理员技术(五): 配置文档的访问权限、 配置附加权限、绑定到LDAP验证服务、配置LDAP家目录漫游的相关文章

Hadoop配置文档

预节 在这一节中,笔者主要向大家介绍了该配置文档中,所用到的Linux命令和Linux的帮助. 终端提示信息 在Linux中,终端的每一行都有提示信息,其包含了当前终端登录的用户,当前登录的主机,当前终端所在的目录. 如:[[email protected] ~]$其格式为:[[用户名]@[hosts主机名或主机ip [当前所在路径]]$解析后可以知道,例子给的提示,实际上代表的是:当前终端登录的主机为master,所有的操作都是针对master的,登录主机的用户为frank,当前终端cd命令进

IIS配置文档

IIS配置文档: 1.安装IIS.控制面板→程序→打开关闭Windows功能,Web管理服务和万维网服务都勾上. 2.部署网站:ASP.Net项目的发布:项目中点右键“发布”,选择“文件系统”,发布到一个文件夹下. 3.在IIS中新建网站,设定域名,这样多个域名可以放到一个IIS服务器上.需要绑定域名. 4.模拟域名,如果启用了UAC,则用管理员权限运行记事本,打开 C:\Windows\System32\drivers\etc下的hosts文件 做一下域名协议的欺骗.伪造一些域名出来. 5.如

【VMware虚拟化解决方案】VMware Horizon View Client 各平台配置文档

云桌面用户手册 XXXX部 2014年05月18日 文档版本 文档名称 XXXX公司云桌面用户手册 保密级别 商密 文档版本编号 1.0 制作人 制作日期 2014-04-24 复审人 复审日期 扩散范围 公司内部使用人员 变更记录 版本编号 版本日期 修改者 说明 文档说明 此文档为XXXX公司内部员工关于<云桌面用户手册>培训文档. 此文档只对公司内部员工传阅,并只针对公司内部员工问题给予解决. 目录 1.VMware Horizon View Client下载地址... 4 2.桌面连接

Kerberos主从配置文档

Kerberos主从配置文档   1. Kerberos主从同步机制 在Master上通过以下命令同步数据: kdb5_util dump /var/kerberos/krb5kdc/slave_db kprop -f  /var/kerberos/krb5kdc/slave_db kerberos2.hadoop.com 2. 搭建 Kerberos 3.1 环境 我们在两个备用NameNode节点上实现Kerberos主从,并在其它需要接入认证的主机上安装Kerberos客户端. 操作系统:

redis.conf 配置文档详解

redis 配置文档详解. 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394959697989910010110210310410510610710810911011111211311411

maven工程web层的web.xml配置文档内容

下面是web层,web.xml配置文档里面需要配置的东西: 1.lo4j配置 2.读取spring文件配置 3.设计路径变量值 4.spring字符集过滤器 5.登陆过滤器 6.springMVC核心配置 7.session过期时间 8.错误页面跳转 以下是实例: <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSch

httpd主配置文档的介绍及小练习

一.httpd 主配置文档的介绍/etc/httpd/conf/httpd.conf ### Section 1: Global Environment 全局环境 ServerRoot "/etc/httpd" 主服务程序在这个目录下 PidFile run/httpd.pid Pid 在主服务目录下的这个文件 Timeout 60 超时时间为60秒 KeepAlive Off 持久连接关闭 MaxKeepAliveRequests 100 最大连接数 KeepAliveTimeout

Nginx配置文档详解

Nginx的配置文档详解,在这儿做个总结,以便以后使用的时间查看. 以下大部分自己整理,部分来自参考 #设置用户 #user  nobody; #启动进程数(一般和服务器的CPU相同) #可以使用 $ cat /proc/cpuinfo 查看内核数 worker_processes  2; #设置错误文件存放的路径 #error_log  logs/error.log; #error_log  logs/error.log  notice; #error_log  logs/error.log

Nginx配置文档具体解释

Nginx的配置文档具体解释.在这儿做个总结,以便以后使用的时间查看. 下面大部分自己整理.部分来自參考 #设置用户 #user  nobody; #启动进程数(一般和server的CPU同样) #能够使用 $ cat /proc/cpuinfo 查看内核数 worker_processes  2; #设置错误文件存放的路径 #error_log  logs/error.log; #error_log  logs/error.log  notice; #error_log  logs/error