你好,我是 LDAP 新手,但我能够按照 ubuntu 的安装指南,使用 posixgroup 添加一些用户,然后使用创建的帐户成功访问 ssh。
现在,假设我有用户 1,并且它使用 rbash shell 连接到 ssh,但即使没有编辑权限,用户 1 仍然可以查看所有文件。
有什么办法可以限制用户 1 只能读取/查看他自己的文件吗?
答案1
我认为您遇到问题的权限不是存储在 LDAP 中,而是存储在文件系统中。LDAP 只会跟踪用户在 LDAP 中的权限(通常)及其组中的权限。
如果您希望用户无法读取某些文件,请确保这些文件不是世界可读的(文件模式的最后一位应为 0,或者更严谨地说,不应设置第四位)。好的做法是默认以这种方式创建人们的主目录。还请记住,在目录中,+x 权限位是遍历的。
还要确保您考虑的用户没有任何允许他阅读您不想让他阅读的文件的组。
根本没有办法使用 POSIX 文件权限以这种方式拒绝对文件的访问,尤其是通过 LDAP;您只需要确保首先不授予访问权限。
如果您还不熟悉 chmod 和 chown,您应该考虑阅读有关它们的信息。