Admin5
真机上:还原三台虚拟机classroom、server、desktop
[root@room9pc14 桌面]# rht-vmctl reset classroom
[root@room9pc14 桌面]# rht-vmctl reset server
[root@room9pc14 桌面]# rht-vmctl reset desktop
真机远程管理:ssh方式,方便使用server与desktop
[root@room9pc14 桌面]# ssh 用户名@IP地址
补充快捷键: Ctrl+Shift+t 开启一个新的终端
[root@room9pc14 桌面]# ssh -X root@172.25.0.11
[root@room9pc14 桌面]# ssh -X root@172.25.0.10
#####################################################
基本权限
• 访问方式(权限)
– 读取:允许查看内容-read r
– 写入:允许修改内容-write w
– 可执行:允许运行和切换-execute x
文本文件:
r:cat head tail less
w:vim 保存
x:可执行该文件
• 权限适用对象(归属)
– 所有者:拥有此文件/目录的用户-user u
– 所属组:拥有此文件/目录的组-group g
– 其他用户:除所有者、所属组以外的用户-other o
• 使用 ls -l 命令
– ls -ld 文件或目录...
以 - 开头:文本文件
以 d 开头:目录
以 l 开头:快捷方式
######################################################
• 判断权限
1. 用户角色 所有者>所属组>其他人 匹配及停止
2. 查看相应角色的权限位置
#######################################################
设置基本权限
• 使用 chmod 命令
– chmod [-R] 归属关系+-=权限类别 文档...
[root@server0 ~]# mkdir /nsd01
[root@server0 ~]# ls -ld /nsd01
[root@server0 ~]# chmod g+w /nsd01
[root@server0 ~]# ls -ld /nsd01
[root@server0 ~]# chmod u-w /nsd01
[root@server0 ~]# ls -ld /nsd01
[root@server0 ~]# chmod o=rwx /nsd01
[root@server0 ~]# ls -ld /nsd01
[root@server0 ~]# chmod u=rwx,g=rx,o=--- /nsd01
[root@server0 ~]# ls -ld /nsd01
####################################################
临时切换用户身份:
[root@server0 ~]# su - zhangsan
目录的 r 权限:能够 ls 浏览此目录内容
目录的 w 权限:能够执行 rm/mv/cp/mkdir/touch/等更改目录内容的操作
目录的 x 权限:能够 cd 切换到此目录
###################################################
以root用户新建/nsddir/目录,在此目录下新建readme.txt文件,并进一步完成下列操作
1)使用户zhangsan能够在此目录下创建子目录 切换用户 su - zhangsan
chmod o+w /nsddir/
2)使用户zhangsan不能够在此目录下创建子目录
chmod o-w /nsddir/
3)使用户zhangsan能够修改readme.txt文件
chmod o+w /nsddir/readme.txt
4)调整此目录的权限,使所有用户都不能进入此目录
chmod u-x,g-x,o-x /nsddir/
5)为此目录及其下所有文档设置权限 rwxr-x---
chmod -R u=rwx,g=rx,o=--- /nsddir/
####################################################
• 使用 chown 命令
– chown [-R] 属主 文档...
– chown [-R] :属组 文档...
– chown [-R] 属主:属组 文档...
[root@server0 /]# mkdir /nsd03
[root@server0 /]# ls -ld /nsd03
[root@server0 /]# groupadd tarena
[root@server0 /]# chown zhangsan:tarena /nsd03
[root@server0 /]# ls -ld /nsd03
[root@server0 /]# chown student /nsd03
[root@server0 /]# ls -ld /nsd03
[root@server0 /]# chown :root /nsd03
[root@server0 /]# ls -ld /nsd03
###################################################
附加权限(特殊权限)
Set GID
• 附加在属组的 x 位上
– 属组的权限标识会变为 s
– 适用于目录,Set GID可以使目录下新增的文档自动设
置与父目录相同的属组(继承)
[root@server0 /]# mkdir /nsd06
[root@server0 /]# ls -ld /nsd06
[root@server0 /]# chown :tarena /nsd06
[root@server0 /]# mkdir /nsd06/abc01
[root@server0 /]# ls -ld /nsd06/abc01
[root@server0 /]# chmod g+s /nsd06/
[root@server0 /]# ls -ld /nsd06/
[root@server0 /]# mkdir /nsd06/abc02
[root@server0 /]# ls -ld /nsd06/abc02
##################################################
ACL策略权限
acl策略的作用
• 文档归属的局限性
– 任何人只属于三种角色:属主、属组、其他人
– 无法实现更精细的控制
• acl访问策略
– 能够对个别用户、个别组设置独立的权限
– 大多数挂载的EXT3/4、XFS文件系统默认已支持
[root@server0 /]# mkdir /nsd10
[root@server0 /]# ls -ld /nsd10
[root@server0 /]# chmod o=--- /nsd10
[root@server0 /]# ls -ld /nsd10
[root@server0 /]# su - zhangsan
[zhangsan@server0 ~]$ cd /nsd10
-bash: cd: /nsd10: Permission denied
[zhangsan@server0 ~]$ exit #回到root
logout
[root@server0 /]# setfacl -m u:zhangsan:rx /nsd10 #设置ACL
[root@server0 /]# ls -ld /nsd10
[root@server0 /]# su - zhangsan
[zhangsan@server0 ~]$ cd /nsd10
[zhangsan@server0 nsd10]$ pwd
[zhangsan@server0 nsd10]$ exit #回到root
logout
[root@server0 /]#
• 使用 getfacl、setfacl 命令
– getfacl 文档...
– setfacl -m u:用户名:权限类别 文档...
– setfacl -m g:组名:权限类别 文档...
– setfacl -b 文档... #清除所有的ACL策略
– setfacl -x 文档... #清除指定的ACL策略
[root@server0 /]# getfacl /nsd10 #查看ACL策略的命令
[root@server0 /]# setfacl -m u:natasha:rwx /nsd10
[root@server0 /]# setfacl -m u:lisi:rwx /nsd10
[root@server0 /]# setfacl -m u:kenji:rx /nsd10
[root@server0 /]# getfacl /nsd10
[root@server0 /]# setfacl -x u:kenji /nsd10
[root@server0 /]# getfacl /nsd10
[root@server0 /]# setfacl -b /nsd10
[root@server0 /]# getfacl /nsd10
#####################################################
使用LDAP认证
什么是LDAP?
• 轻量级目录访问协议
– Lightweight Directory Access Protocol
– 由服务器来集中存储并向客户端提供的信息,存储方
式类似于DNS分层结构
– 提供的信息包括:用户名、密码、通信录、主机名映
射记录、......
本地用户:本地/etc/passwd
网络用户的实现: LDAP服务器
服务器:classroom.example.com
客户端:server
1.安装一个客户端软件sssd 与LDAP服务器沟通的软件
[root@server0 /]# yum -y install sssd
2..安装图形软件authconfig-gtk配置sssd工具
[root@server0 /]# yum -y install authconfig-gtk
3.运行图形软件authconfig-gtk进行配置
[root@server0 /]# authconfig-gtk
用户账户数据库:LDAP
LDAP搜索基础DN:dc=example,dc=com
LDAP服务器: classroom.example.com
钩选:用TLS加密连接
指定证书加密:
http://classroom.example.com/pub/example-ca.crt
认证方法:LDAP密码
4.重起客户端sssd服务
[root@server0 /]# systemctl restart sssd #重起sssd服务
[root@server0 /]# systemctl enable sssd #设置开机自起
5.验证:LDAP服务器上用户可以在本地识别
[root@server0 ~]# id ldapuser10
[root@server0 ~]# grep 'ldapuser10' /etc/passwd
二、家目录漫游,在本地访问服务器上的资源,
服务端:
classroom.example.com 作了NFS共享文件夹,共享了所有的家目录
客户端:访问共享
[root@server0 ~]# showmount -e classroom.example.com
Export list for classroom.example.com:
/home/guests 172.25.0.0/255.255.0.0
挂载共享目录,提供访问点
# umount /mnt/
# mkdir /home/guests
# mount classroom:/home/guests/ /home/guests
# ls /home/guests
# su - ldapuser10
#######################################################
浙公网安备 33010602011771号