[CentOS-es] permisos por defecto para usuario ldap

carlos restrepo restrcarlos en gmail.com
Vie Oct 30 18:21:36 UTC 2009


Samuel, el ldap palabras mas palabras menos es un sistema de autenticación y
si en una carpeta tienes archivos con permisos 777 por ejemplo un usuario
que no este creado en el ldap no podrá acceder al mismo.

Lo que yo haria es complementar ldap con ACL's (listas de control de
acceso).

Como seria el procedimiento a usar?..


1. Creas el usuario en ldap.

2. Mediante ACL's estableces los privilegios sobre los recursos (lectura o
escritura).

Ejemplo.

digamos que en tu servidor de archivos (al cual accedes autenticandote con
un ldap) tienes el directorio "INFORMATICA2009" y al interior de el tienes
la carpeta "CENTRO_DE_COMPUTO" y en ella tienes la carpeta "OPERADOR"

ahora creaste el usuario "samuel" el cual debe tener permisos de lectura
sobre la carpeta CENTRO_DE_COMPUTO y de lectura y escritura sobre la carpeta
"OPERADOR".

Instrucciones

a)

[root en equiposamuel ~]#  setfacl -m u:samuel:rx INFORMATICA2009       (y un
poderoso enter ;-), este comando da privilegios de lectura sobre la carpeta

[root en equiposamuel ~]#  setfacl -m default:u:samuel:rx INFORMATICA2009 (y el
respectivo enter), este comando hace que hereden los permisos de la carpeta
principal a cada una de las subcarpetas o archivos que existan al interior
de INFORMATICA2009 llegando hasta el ultimo de los archivos.

 [root en equiposamuel ~]#  setfacl -R -m  u:samuel:rx INFORMATICA2009 (y el
respectivo enter), hace lo mismo que el comando anterior.

b) ingresas hasta la carpeta  CENTRO_DE_COMPUTO.

 [root en equiposamuel ~]# cd  /INFORMATICA2009/CENTRO_DE_COMPUTO

c) Asignar permisos de lectura y escritura a "samuel" sobre la carpeta
"OPERADOR".

[root en equiposamuel ~]#  setfacl -R -m  u:samuel:rwx OPERADOR  (permisos de
lectura y escritura para la carpeta, subcarpetas y sus contenidos).

[root en equiposamuel ~]#  setfacl -R -m  default:u:samuel:rwx OPERADOR
(permisos de lectura y escritura para la carpeta, subcarpetas y sus
contenidos, y ademas las carpetas y/o archivos que cree el usuario heredaran
los mismos permisos que se le asignaron al usuario sobre esa carpeta
(OPERADOR).

Los ACL's te permiten mejor adminstracion de acceso a recursos sin q





El 29 de octubre de 2009 13:33, samuel correa <samuel.correa en gmail.com>escribió:

> Alguien que me pueda ayudar???
>
>
> 2009/10/28 samuel correa <samuel.correa en gmail.com>
>
> Hola a todos.
>>
>> Resulta que tengo unos usuarios alojados en mi servidor ldap que necesito
>> que tengan unos permisos 700 para todo lo que creen (archivos y directorios)
>> cuando estén logueados, pero no encuentro como hacerlo, ya que luego de
>> investigar un rato encontre que podia hacerlo a través del archivo
>> /etc/bashrc, pero los permisos puestos en ese archivo solo me sirven para
>> los usuarios locales, no para los del ldap, así que estoy un poco perdido
>> con el asunto... Tambien encontré algo sobre algunos archivos bajo el
>> directorio /etc/pam.d/* pero la verdad no se si deba modificarlos por que no
>> tengo idea de que sería lo que estoy haciendo.
>> Haciendo pruebas referentes a lo del archivo /etc/bashrc intente hacer lo
>> siguiente: (sin tener en cuenta lo que decia el archivo en mension) me
>> logueo con uno de los usuarios de ldap, y al estar en una terminal doy el
>> comando "umask 077" y con eso ya quedan configurados sus permisos de
>> creación de archivos y carpetar pero solo para esa sesion, si se sale y
>> vuelve a ingresar ya se perdió esa configuración... así que lo que creo que
>> necesito es hacer que cada que un usuario del LDAP ingrese al sistema, se
>> ejecute ese comando..
>>
>> ojala me pueda ayudar...
>>
>> gracias.
>>
>> samuel.
>>
>
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
>


-- 
Carlos Restrepo M.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://lists.centos.org/pipermail/centos-es/attachments/20091030/da4119be/attachment.html 


Más información sobre la lista de distribución CentOS-es