Admin（五）——權限、LDAP、NFS共享

一、權限和歸屬
1.基本權限
1.1.基本權限的類別
訪問方式（權限）：
--讀取：-r 允許查看內容
--寫入：-w 允許修改內容
--可執行：-x 允許運行和切換

權限適用對象（歸屬）
--所有者：-u 屬主，擁有此文件/目錄的用戶
--所屬組：-g 屬組，擁有此文件/目錄的組
--其他用戶：-o 除所有者、所屬組以外的用戶

1.2.查看權限
使用ls -l命令
#ls -ld 文件或目錄
例如：
#ls -ld /ect/resolv.conf
結果爲：-rw-rw-r--. 1 root root 27 5月 16 18:45 /etc/resolv.conf

各字段代表的意思：
權限位 硬連接數 屬主 屬組 大小 最後修改時間 文件/目錄名稱
權限位各位置的意義： 類型- 屬主rw- 屬組rw- 其他人r--

1.3.設置基本權限
使用chmod命令
chmod -[R] 歸屬關係+-=權限類別 文檔...
或者使用數字來改變權限（rwx分別由4 2 1 表示）：
000：---------
400：r--------
600：rw-------
700：rwx------
740：rwxr-----
760：rwxrw----
770：rwxrwx---
774：rwxrwxr--
776：rwxrwxrw-
777：rwxrwxrwx
例如：
#mkdir /opt/aa
#ls /opt/aa
#chmod -R g+w /opt/aa
或chmod -R 770 /opt/aa
#ls /opt/aa

1.4.設置文檔歸屬
即是修改所有者和所屬組
使用chown命令
修改屬主和屬組：
chown [-R] xiaoha : study /文檔
修改屬主：
chown [-R] xiaoha01 /文檔
修改屬組：
chown [-R] : study01 /文檔

2. 特殊權限 Set GID
   2.1 附加在屬組的X位
   適用於目錄，set GID 可以使目錄下新增的文檔自動設置與父目錄相同的屬組
   該權限位附加在屬組的x位上，屬組的權限標識會變爲s(原先有x則變爲小寫s，原先沒有x則變爲大寫S)
   用法：
   例如創建一個目錄xiaohashuo
   #mkdir /xiaohashuo
   #chown : xiaoha /xiaohashuo //更改目錄的所屬組爲xiaoha
   #ls -ld /xiaohashuo //查看目錄的所屬組
   #chmod g+s /xiaohashuo //增加附加權限
   #mkdir /xiaohashuo/test01 //創建子目錄
   #ls -ld /xiaohashuo/test01 //查看子目錄的所屬組

2.2 附加在所有者的X位
適用於可執行文件，可以讓使用者具有文件屬主的身份及部分權限。屬主的權限標識會變爲s。
用法：
例如可執行文件/usr/bin/mkdir 可用來創建目錄

#cp /usr/bin/mkdir /usr/bin/xiaohadir //拷貝該文件並改名爲xiaohadir，該文件也可用來創建目錄
#ls -l /usr/bin/xiaohadir
#chmod u+s /usr/bin/xiaohadir //給該文件所有者添加特殊權限
#ls -l /usr/bin/xiaohadir //查看是否添加成功
#su - student //用student 用戶登陸
$/usr/bin/mkdir test01 //student可以在當前目錄下用/usr/bin/mkdir創建文件（不能在根下創建目錄）
$ ls -l //查看文件所有者和所屬組都是student
$/usr/bin/xiaohadir test02 //student可以用該文件創建文件
$ ls -l //發現test02的所有者是root而不是student

2.3附加權限Sticky Bit（t權限）
附加在其他人的X位上，其他人的權限標識會變爲t，適用於開放W權限的目錄，可以阻止用戶濫用w寫入權限（禁止操作別人的文檔）
例如：假設系統根目錄下有目錄public,該目錄對任何人都具有rwx權限，如果有三個用戶分別登陸系統，這些用戶就可以隨意的刪除或創建該目錄下的內容，加了t權限就可以禁止操作別人的文檔，用戶只能操作自己家目錄的內容。
#mkdir /public
#chmod o+t /public //給其他人添加t權限
#ls -l /public

3.acl訪問控制策略
能夠對個別用戶、個別組設置獨立的權限
使用setfacl、getfacl命令
用法：
setfacl -m u:用戶名：權限類別 /文檔
setfacl -m g:組名：權限類別 /文檔
setfacl -x u:用戶名 /文檔 //刪除指定的acl
setfacl -b 文檔 //刪除所有的acl策略

例如:
#chmod  o=---   /xiaohashuo/test02       //更改目錄的其他人權限
#useradd xiaoha                   //創建用戶xiaoha
#su  -   xiaoha                       //用戶xiaoha登陸
#cd /xiaohashuo/test02                 //訪問被拒絕
#exit                           //切回root登陸
#setfacl  -m  u : xiaoha : rx    /xiaohashuo/test02      //給xiaoha對該目錄的r-x權限
#ls  -ld    /xiaohashuo/test02        //發現權限爲的末尾有個+號
#su - xiaoha                //xiaoha登陸
#cd   /xiaohashuo/test02            //此時xiaoha有該目錄的執行權限

二、使用LDAP認證
LDAP——輕量級目錄訪問協議，由服務器來集中存儲並向客戶端提供的信息，存儲方式類似於DNS分層結構。提供的信息包括：用戶名、密碼、通信錄、主機名映射記錄等。
1.LDAP目錄服務

爲一組客戶機集中提供可登陸的用戶賬號（網絡用戶），用戶名和密碼信息存儲在LDAP服務端，這些客戶機都加入同一個LDAP域。
2.加入LDAP需要的條件
服務端提供：
--LDAP服務器地址、基本DN名稱
--加密用的證書
客戶端準備：
--修改用戶登錄的驗證方式，啓用LDAP
--正確配置LDAP服務端參數
--軟件包：sssd、authconfig-gtk
客戶端步驟：
(1).安裝sssd (與LDAP服務器溝通的軟件)
#yum -y install sssd
(2)安裝authconfig-gtk(用戶認證配置工具，用來配置sssd)
(3)運行authconfig-gtk進行配置
#authconfig-gtk
用戶賬戶數據庫：LDAP
認證方式：LDAP密碼
LDAP搜索基礎DN（域名）： dc= ,dc= (用逗號隔開)
LDAP服務器：服務器完整名稱
勾選用TLS加密連接，指定證書加密
(4)重啓客戶端sssd服務
#systemctl restart sssd
#systemctl enable sssd
(5)驗證LDAP服務器上用戶可以在本地識別

 三、家目錄漫遊
 在本地訪問服務器上的資源
 1.訪問NFS共享
 NFS(network File System),網絡文件系統
 由NFS服務器將指定的文件夾共享給客戶機，客戶機將此共享目錄mount到本地目錄，訪問此共享資源就像訪問本地目錄一樣方便。類似於EXT4、XFS等類型，只不過資源在網上
 #showmount  -e  服務器地址     //查看NFS資源
 #mount   服務器地址：目錄路徑  本地掛載點      //掛載NFS共享目錄