Привет, я новичок в LDAP, но я смог следовать руководству по установке ubuntu, добавить несколько пользователей с помощью posixgroup, а затем успешно получить доступ к ssh с помощью созданной учетной записи.
Теперь предположим, что у меня есть user1, и он подключен к ssh с помощью оболочки rbash, но пользователь user1 может просматривать все файлы, даже если нет разрешения на редактирование.
Есть ли способ ограничить пользователя user1 только чтением / просмотром его собственного файла?
Я не думаю, что разрешения, с которыми у вас возникла проблема, хранятся в LDAP, так как в файловой системе. LDAP будет отслеживать только разрешения пользователей в LDAP (обычно) и их группы.
Если вы хотите, чтобы пользователь не мог читать некоторые файлы, убедитесь, что эти файлы не доступны для чтения всем (последний бит режима файла должен быть 0, или более педантично, бит четверок не должен быть установлен). Хорошая практика - по умолчанию создавать домашние каталоги людей. Также имейте в виду, что в каталогах бит разрешения + x - это обход.
Также убедитесь, что у пользователя, о котором вы думаете, нет групп, которые позволили бы ему читать файлы, которые вы не хотите, чтобы он читал.
Просто нет возможности отказать в доступе к файлам таким образом с использованием разрешений файлов POSIX, особенно через LDAP; вам просто нужно убедиться, что доступ не предоставляется.
Вам следует подумать о чтении chmod и chown, если вы еще не знакомы с ними.