本節討論下列主題。如需其他規劃主題,請參閱 OES 線上文件中的「安全性」小節。
NetWare (NSS/NCP™) 與 Linux (POSIX) 安全性模型非常不一樣,如表 21-1 中所顯示。
表 21-1 POSIX 與NSS/NCP 檔案安全性模型的比較
|
特性 |
POSIX / Linux |
OES 2 Linux 上的 NSS/NCP |
|---|---|---|
|
管理原則 |
每個檔案與子目錄的許可是個別控制和管理。 因為 POSIX 安全性模型的本質,使用者通常擁有系統大部分的讀取權限。 若要將目錄和檔案設成私人,必須先移除許可。 如需有關將現有目錄設成私人的詳細資訊,請參閱節 17.4.2, 提供私人的工作目錄。 |
而且除非特別重新指定,否則託管者任務會對目錄與檔案,並從目錄套用至其下的所有內容。 |
|
預設可存取性 |
使用者擁有查看大部分檔案系統的許可。 一些目錄的內容 (例如 /root 主目錄) 只有根使用者才可以檢視。 有些系統組態檔案每個人都可以讀取,但是大部分重要的檔案 (例如 /etc/fstab) 只能由 root 讀取和修改。 |
使用者只能查看他們是託管者 (或是託管者群組的成員) 的目錄與檔案。 |
|
主目錄--預設可存取性的範例 |
依照預設,所有的使用者都可以查看在主目錄中的目錄與檔案名稱。 在 LUM 安裝期間,您可以指定新建立的主目錄將為私人目錄。 如需有關將現有主目錄設成私人目錄的詳細資訊,請參閱節 17.4.2, 提供私人的工作目錄。 |
依照預設,只有系統管理員與主目錄擁有者可以查看主目錄。在目錄中的檔案是安全的。 如果使用者想要與其他人共用檔案,可以授與託管者任務,或者可以建立共用的子目錄並指定託管者。 |
|
從父代承襲 |
沒有承襲任何項目。 將許可授予目錄或檔案只會影響目錄或檔案。 |
除非特別重新指定,否則所有的子目錄都會承襲權限。 託管者任務有可能會授予使用者大量的子目錄與檔案權限。 |
|
隱私權 |
因為使用者基於上述原因而擁有查看大部分檔案系統的許可,所以大部分的目錄與檔案只有在您將它們設為私人時才會變成私人。 |
依照預設為私人的目錄與檔案。 |
|
子目錄與檔案可見度 |
授予檔案或目錄的許可只會套用至檔案或目錄。使用者無法查看父目錄到根目錄的路徑,除非為每個父代授予許可 (透過設定 UID、GID 與模式位元)。 在授予許可之後,使用者可以查看路徑中每個目錄的整個內容 (子目錄與檔案)。 |
在將檔案或目錄的託管者任務授予使用者時,他們可以自動看到每個父目錄一直往上到根目錄的路徑。不過,使用者無法查看那些目錄的內容,只能看到他們有權限的路徑。 |
當在傳統 Linux 或 NSS 卷冊上建立 NCP 卷冊時,會修改上述的某些行為。如需詳細資訊,請參閱《OES 2:適用於 Linux 的 NCP 伺服器管理指南》,特別是 Linux 安全性的 NCP
小節。
經驗豐富的 NetWare 管理員習慣能夠對使用者設定下列存取限制:
帳戶餘額限制
位址限制
帳戶鎖定狀態
登入限制
密碼限制
時間限制
設定這些限制的許多管理介面 (例如 iManager),似乎暗示著這些限制適用於使用任何協定來存取 OES 2 伺服器的使用者。
這通常是真的,但有兩個重要的例外:
在登入限制中最大的並行連接數目
位址限制
有兩個特定的限制只會針對使用 NCP 來存取伺服器的使用者而強制執行。透過其他存取協定的連接 (例如,HTTP 或 CIFS) 沒有強制並行連接或是位址限制。
基於這個原因,您可能會想要考慮在設定「Linux 使用者管理」時不啟用 LUM 的 SSH 與 FTP 等服務。如需有關 SSH 與 LUM 的詳細資訊,請參閱節 11.4, OES 2 Linux 上的 SSH 服務。
如需有關 Linux 使用者管理的詳細資訊,請參閱Linux 使用者管理:eDirectory 使用者的 Linux 存取權。如需有關可以啟用 PAM 之服務的詳細資訊,請參閱表 15-1。