[CentOS-es] permisos por defecto para usuario ldap

carlos restrepo restrcarlos en gmail.com
Vie Oct 30 18:25:09 UTC 2009


Los acl's te permiten mejor administración sobre el tipo de acceso a un
recurso (lectura o escritura) sin tener en cuenta el tipo de permisos que
tenga el archivo como tal.


Saludos.



El 30 de octubre de 2009 12:21, carlos restrepo <restrcarlos en gmail.com>escribió:

> Samuel, el ldap palabras mas palabras menos es un sistema de autenticación
> y si en una carpeta tienes archivos con permisos 777 por ejemplo un usuario
> que no este creado en el ldap no podrá acceder al mismo.
>
> Lo que yo haria es complementar ldap con ACL's (listas de control de
> acceso).
>
> Como seria el procedimiento a usar?..
>
>
> 1. Creas el usuario en ldap.
>
> 2. Mediante ACL's estableces los privilegios sobre los recursos (lectura o
> escritura).
>
> Ejemplo.
>
> digamos que en tu servidor de archivos (al cual accedes autenticandote con
> un ldap) tienes el directorio "INFORMATICA2009" y al interior de el tienes
> la carpeta "CENTRO_DE_COMPUTO" y en ella tienes la carpeta "OPERADOR"
>
> ahora creaste el usuario "samuel" el cual debe tener permisos de lectura
> sobre la carpeta CENTRO_DE_COMPUTO y de lectura y escritura sobre la carpeta
> "OPERADOR".
>
> Instrucciones
>
> a)
>
> [root en equiposamuel ~]#  setfacl -m u:samuel:rx INFORMATICA2009       (y un
> poderoso enter ;-), este comando da privilegios de lectura sobre la carpeta
>
> [root en equiposamuel ~]#  setfacl -m default:u:samuel:rx INFORMATICA2009 (y
> el respectivo enter), este comando hace que hereden los permisos de la
> carpeta principal a cada una de las subcarpetas o archivos que existan al
> interior de INFORMATICA2009 llegando hasta el ultimo de los archivos.
>
>  [root en equiposamuel ~]#  setfacl -R -m  u:samuel:rx INFORMATICA2009 (y el
> respectivo enter), hace lo mismo que el comando anterior.
>
> b) ingresas hasta la carpeta  CENTRO_DE_COMPUTO.
>
>  [root en equiposamuel ~]# cd  /INFORMATICA2009/CENTRO_DE_COMPUTO
>
> c) Asignar permisos de lectura y escritura a "samuel" sobre la carpeta
> "OPERADOR".
>
> [root en equiposamuel ~]#  setfacl -R -m  u:samuel:rwx OPERADOR  (permisos de
> lectura y escritura para la carpeta, subcarpetas y sus contenidos).
>
> [root en equiposamuel ~]#  setfacl -R -m  default:u:samuel:rwx OPERADOR
> (permisos de lectura y escritura para la carpeta, subcarpetas y sus
> contenidos, y ademas las carpetas y/o archivos que cree el usuario heredaran
> los mismos permisos que se le asignaron al usuario sobre esa carpeta
> (OPERADOR).
>
> Los ACL's te permiten mejor adminstracion de acceso a recursos sin q
>
>
>
>
>
> El 29 de octubre de 2009 13:33, samuel correa <samuel.correa en gmail.com>escribió:
>
>> Alguien que me pueda ayudar???
>>
>>
>> 2009/10/28 samuel correa <samuel.correa en gmail.com>
>>
>> Hola a todos.
>>>
>>> Resulta que tengo unos usuarios alojados en mi servidor ldap que necesito
>>> que tengan unos permisos 700 para todo lo que creen (archivos y directorios)
>>> cuando estén logueados, pero no encuentro como hacerlo, ya que luego de
>>> investigar un rato encontre que podia hacerlo a través del archivo
>>> /etc/bashrc, pero los permisos puestos en ese archivo solo me sirven para
>>> los usuarios locales, no para los del ldap, así que estoy un poco perdido
>>> con el asunto... Tambien encontré algo sobre algunos archivos bajo el
>>> directorio /etc/pam.d/* pero la verdad no se si deba modificarlos por que no
>>> tengo idea de que sería lo que estoy haciendo.
>>> Haciendo pruebas referentes a lo del archivo /etc/bashrc intente hacer lo
>>> siguiente: (sin tener en cuenta lo que decia el archivo en mension) me
>>> logueo con uno de los usuarios de ldap, y al estar en una terminal doy el
>>> comando "umask 077" y con eso ya quedan configurados sus permisos de
>>> creación de archivos y carpetar pero solo para esa sesion, si se sale y
>>> vuelve a ingresar ya se perdió esa configuración... así que lo que creo que
>>> necesito es hacer que cada que un usuario del LDAP ingrese al sistema, se
>>> ejecute ese comando..
>>>
>>> ojala me pueda ayudar...
>>>
>>> gracias.
>>>
>>> samuel.
>>>
>>
>>
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>>
>
>
> --
> Carlos Restrepo M.
>



-- 
Carlos Restrepo M.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://lists.centos.org/pipermail/centos-es/attachments/20091030/aef39fd2/attachment.html 


Más información sobre la lista de distribución CentOS-es