heimdal-history – Online in der Cloud

PROGRAMM:

NAME/FUNKTION

heimdal-history – Passwortverlauf über die externe Stärkeprüfung von Heimdal

ZUSAMMENFASSUNG

Heimdal-Geschichte [-hmq] [-b Zielzeit] [-d Datenbank]
[-S Längenstatistiken-db] [-s Kraftprogramm] [Haupt-]

BESCHREIBUNG

Heimdal-Geschichte ist eine Implementierung des Passwortverlaufs über das externe Heimdal-Passwort
Schnittstelle zur Festigkeitsprüfung. Es speichert einen separaten Verlauf für jeden Principal, gehasht mit
Crypt::PBKDF2 mit zufällig generiertem Salt. (Die Zufälligkeit stammt von einer schwachen Pseudozufälligkeit
Zahlengenerator, nicht stark zufällig.)

Der Passwortverlauf wird in einer BerkeleyDB DB_HASH-Datei gespeichert. Der Schlüssel ist der Auftraggeber. Der
value ist ein JSON-Array von Objekten, von denen jedes zwei Schlüssel hat. „timestamp“ enthält die
Zeitpunkt, zu dem der Verlaufseintrag hinzugefügt wurde (in POSIX-Sekunden seit der UNIX-Epoche) und „Hash“
enthält den Hash eines zuvor verwendeten Passworts im LDAP-kompatiblen Crypt::PBKDF2
Format. Passwörter werden mit PBKDF2 (von PKCS#5) mit SHA-256 als zugrundeliegendem Hash gehasht
Hash-Funktion mit einer in diesem Skript konfigurierten Anzahl von Runden. Siehe Crypt::PBKDF2 für
mehr Informationen.

Heimdal-Geschichte prüft außerdem die Passwortstärke, bevor der Verlauf überprüft wird. Dies geschieht durch
Aufrufen eines anderen Programms, das ebenfalls die externe Passwortstärkeprüfung von Heimdal verwendet
Schnittstelle. Standardmäßig wird es ausgeführt /usr/bin/heimdal-strength. Nur wenn das Programm zustimmt
Das Passwort führt einen Hash durch und überprüft den Verlauf.

Wie bei jeder Implementierung des Heimdal-Protokolls zur externen Passwortstärkeprüfung gilt auch hier:
Heimdal-Geschichte erwartet bei der Standardeingabe:

Rektor:
Neues Kennwort:
Ende

(ohne führendes Leerzeichen). Ändert der Prinzipal sein Passwort (bestanden).
zum anderen Programm zur Überprüfung der Passwortstärke, ansonsten hier jedoch nicht verwendet) und
ist das neue Passwort. Nach dem Doppelpunkt muss genau ein Leerzeichen stehen. Alle weiteren
Leerzeichen gelten als Teil des Prinzipals oder Passworts.

Wenn als Root aufgerufen, Heimdal-Geschichte führt das externe Festigkeitsprüfprogramm aus als
Benutzer „nobody“ und Gruppe „nogroup“ und prüft und schreibt in die Verlaufsdatenbank als
Benutzer „_history“ und Gruppe „_history“. Diese Benutzer müssen auf dem System vorhanden sein, wenn es ausgeführt wird
als root.

Das Ergebnis jeder Passwortprüfung wird im Syslog protokolliert (Priorität LOG_INFO, Funktion
LOG_AUTH). Jede Protokollzeile besteht aus einer Reihe von Schlüssel/Wert-Paaren im Format „Schlüssel=Wert"dem „Vermischten Geschmack“. Seine
Schlüssel sind:

Aktion
Die durchgeführte Aktion (aktuell immer „prüfen“).

Haupt-
Der Prinzipal, für den ein Passwort überprüft wurde.

Fehler
Eine interne Fehlermeldung, die die Verlaufsprüfung nicht gestoppt hat, aber möglicherweise darauf hinweist
dass etwas mit der Verlaufsdatenbank nicht stimmt (z. B. beschädigte Einträge oder
ungültige Hashes). Wenn dieser Schlüssel vorhanden ist, gibt es weder „Ergebnis“ noch „Grund“.
gegenwärtig. Es wird eine nachfolgende Protokollmeldung desselben Aufrufs mit der folgenden Meldung angezeigt:
Endergebnis der Verlaufsprüfung (vorausgesetzt Heimdal-Geschichte endet nicht mit einem Fatal
Error).

Folge
Entweder „akzeptiert“ oder „abgelehnt“.

Grund
Wenn das Passwort abgelehnt wurde, der Grund für die Ablehnung.

Der Wert wird in doppelte Anführungszeichen gesetzt, wenn er ein doppeltes Anführungszeichen oder ein Leerzeichen enthält.
Alle doppelten Anführungszeichen im Wert werden verdoppelt, sodass „“ zu „“ wird.

OPTIONAL

-b Zielzeit, --Benchmark=Zielzeit
Führen Sie keine Überprüfung des Passwortverlaufs durch. Vergleichen Sie stattdessen den Hash-Algorithmus mit
verschiedene mögliche Iterationszahlen und finden Sie eine Iterationszahl, die Folgendes ergibt: Ziel-
Zeit Sekunden Rechenzeit, die zum Hashen eines Passworts (das ein echtes sein sollte) erforderlich sind
Nummer). Ein Ergebnis gilt als akzeptabel, wenn es innerhalb von 0.005 Sekunden vom Ergebnis abweicht
Zielzeit. Die Ergebnisse werden dann auf der Standardausgabe gedruckt Heimdal-Geschichte
wird erfolgreich beendet.

-d Datenbank, --Datenbank=Datenbank
Verwenden Sie die Datenbank als Verlaufsdatenbankdatei anstelle der Standarddatei
(/var/lib/heimdal-history/history.db). Wird seit Heimdal hauptsächlich zu Testzwecken verwendet
wird dieses Argument nicht weitergeben.

-h, --help
Drucken Sie eine kurze Nutzungsnachricht und beenden Sie den Vorgang.

-m, --Handbuch, --Mann
Zeigen Sie dieses Handbuch an und beenden Sie den Vorgang.

-q, --ruhig
Unterdrücken Sie die Protokollierung im Syslog und geben Sie die Ergebnisse nur auf der Standardausgabe und im Standard zurück
Fehler. Wird hauptsächlich zum Testen verwendet, da Heimdal dieses Argument nicht bestehen kann.

-S Längenstatistiken-db, --Statistiken=Längenstatistiken-db
Verwenden Sie die Längenstatistiken-db als Datenbankdatei für Passwortlängenstatistiken anstelle von
Standard (/var/lib/heimdal-history/lengths.db). Wird seitdem hauptsächlich zum Testen verwendet
Heimdal wird dieses Argument nicht bestehen lassen.

-s Kraftprogramm, --Stärke=Kraftprogramm
Führen Sie Kraftprogramm als externes Stärkeprüfungsprogramm anstelle des Standardprogramms
(/usr/bin/heimdal-strength). Wird hauptsächlich zum Testen verwendet, da Heimdal nicht besteht
dieses Argument.

RÜCKKEHR STATUS

Nach Genehmigung des Passworts Heimdal-Geschichte gibt „GENEHMIGT“ und eine neue Zeile aus
Standardausgabe und Ausgang mit Status 0.

Wenn das Passwort vom Stärkeprüfprogramm abgelehnt wird oder wenn es (oder eine Version mit a
einzelnes Zeichen entfernt) stimmt mit einem der im Passwortverlauf gespeicherten Hashes überein,
Heimdal-Geschichte gibt den Grund für die Ablehnung als Standardfehler aus und beendet den Vorgang mit dem Status
0.

Bei jedem internen Fehler, Heimdal-Geschichte gibt den Fehler als Standardfehler aus und beendet den Vorgang
mit einem Status ungleich Null.

Nutzen Sie heimdal-history online über die Dienste von onworks.net