Este es el comando dacsauth que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
dacsauth - verificación de autenticación
SINOPSIS
dacsauth [-m especificación del módulo de autenticación] [...] [-r roles-módulo-especificación] [...] [-DDirectivas=propuesta de]
[-para]
[-fj apellido] [-fn nombre federal] [-h | -ayuda] [-carné de identidad] [-ll nivel de registro]
[-p la contraseña]
[-pf presentar] [-inmediato] [-q] [{-u | -usuario} nombre de usuario] [-v]
módulos-dacsauth
DESCRIPCIÓN
Este programa es parte del DACS sucesivamente.
El dacsauth La utilidad prueba si el material de autenticación dado satisface la autenticación
requisitos e indica el resultado a través del estado de salida del proceso. Esto es similar a
dacs_authenticate(8)[1] y dacscred(1)[2].
dacsauth proporciona una forma para que los scripts y otros programas aprovechen la DACS autenticación
infraestructura. Pueden usar la autenticación exitosa como una forma burda de
autorización; sólo un usuario que proporcione una contraseña correcta puede tener permitido ejecutar el
programa, por ejemplo. O pueden devolver algún tipo de credenciales después de que hayan tenido éxito
autenticación, o tal vez usar dacs_auth_agent(8)[3] para volver DACS cartas credenciales.
dacsauth también se puede utilizar para recuperar información de roles asociada con un usuario determinado.
dacsauth no lee ninguno DACS Archivos de configuración. Todo lo necesario para realizar la prueba
debe especificarse como un argumento.
Consejo
If dacsauth utiliza un módulo incorporado para realizar la autenticación o buscar roles, no
servidor componente is Requisitos. Esto significa que puede usar dacsauth sin tener que
acceder o incluso configurar un servidor web, incluido Apache.
CAMPUS
Se reconocen los siguientes indicadores de línea de comando. Al menos uno -m bandera (realizar
pruebas de autenticación), o al menos una -r se debe especificar la bandera (para formar un rol
cadena de descriptor para la identidad e imprimirla en stdout). Una combinación de ambas banderas es
permitido, en cuyo caso se emite una cadena de descriptor de rol solo si la prueba de autenticación
es exitoso.
-DDirectivas=propuesta de
Esto es equivalente a configurar Directivas, un general DACS directiva de configuración, para
propuesta de. Vea dacs.conf(5)[4].
-para
La siguiente cadena proporcionada por el -p, -pfo -inmediato bandera será el valor de la
AUXILIAR argumento de autenticación. Esto proporciona una forma segura de pasar
información auxiliar, como un PIN, del programa. Una bandera para obtener la contraseña,
si existe, debe preceder a este indicador en la línea de comando.
-fj apellido
Uso apellido, que debe ser sintácticamente válido, como el nombre de la jurisdicción. Si es requerido
pero no proporcionado, se utilizará un valor derivado del nombre de dominio del host.
-fn nombre federal
Uso nombre federal, que debe ser sintácticamente válido, como el nombre de la federación. Si es requerido
pero no proporcionado, se utilizará un valor derivado del nombre de dominio del host.
-h
-ayuda
Muestre un mensaje de ayuda y salga.
-carné de identidad
Si tiene éxito, imprima el autenticado DACS identidad con la salida estándar.
-ll nivel de registro
Establezca el nivel de salida de depuración en nivel de registro (consulta: dacs(1)[5]). El nivel predeterminado es
advertir.
-m especificación del módulo de autenticación
Cada tipo de prueba de autenticación que se requiere se describe mediante un especificación del módulo de autenticación
que sigue inmediatamente a la -m bandera. Cada especificación del módulo de autenticación es esencialmente un
representación alternativa de un Auth cláusula[6] y sus directivas, que son utilizadas por
dacs_authenticate(8)[1]. Del mismo modo que el orden en el que aparecen las cláusulas de autenticación en un DACS
archivo de configuración, el orden en el que -m las banderas que aparecen pueden ser significativas,
dependiendo de control palabras clave. Durante el procesamiento, sucesivos -m los componentes son
nombres asignados automáticamente, auth_module_1, auth_module_2, etc., principalmente para
fines de notificación de errores.
An especificación del módulo de autenticación tiene la siguiente sintaxis:
El módulo comienza con el nombre de un módulo integrado o una abreviatura válida
del mismo, o la URL (absoluta) de un módulo de autenticación externo (equivalente a
las Enlance[7] directiva). A continuación debe aparecer una palabra clave de estilo de autenticación reconocida
especificador (equivalente al ESTILO[8] directiva). A continuación, el control sigue la palabra clave,
que es idéntica a la CONTROL[9] directiva en la cláusula Auth. Después de la control
palabra clave, las banderas descritas a continuación pueden seguir, en cualquier orden.
An especificación del módulo de autenticación termina cuando la primera bandera no válida (o el final de las banderas) es
encontrado.
El -O bandera es equivalente a una OPCIÓN[10] Directiva.
El -De La bandera va seguida de un argumento que es el nombre de un archivo desde el que leer
opciones, una por línea, en el formato nombre =propuesta de. Líneas en blanco y líneas que comienzan con
un '#' se ignora; tenga en cuenta que estas líneas no comienzan con "-O" y las comillas son simplemente
copiado y no interpretado. los -De La bandera se puede usar para evitar poner contraseñas
la línea de comando y facilita la escritura de expresiones que de otro modo tendrían
para escapar con cuidado para evitar la interpretación por parte del caparazón, por ejemplo.
El -expr bandera es equivalente a la EXPR[11] directiva. los -vfs la bandera se usa para
configurar VFS[12] directivas requeridas por este módulo.
-módulos
Muestre una lista de módulos de autenticación integrados y módulos de roles, uno por línea, y
luego salga. Se imprime el nombre del módulo canónico, seguido de cero o más equivalentes
abreviaturas. Para los módulos de autenticación, se muestra el estilo de autenticación. Listar
los módulos disponibles, ejecute el comando:
% dacsauth -módulos
Se determina el conjunto de módulos de roles y autenticación integrados disponibles (habilitados)
cuando DACS está construído.
-p la contraseña
Especifique la contraseña a utilizar (equivalente a la CONTRASEÑA argumento para
dacs_authenticate).
Seguridad
Una contraseña dada en la línea de comando puede ser visible para otros usuarios en la misma
.
-pf presentar
Lea la contraseña para usar de presentar (equivalente al CONTRASEÑA argumento para
dacs_authenticate) Si presentar es "-", entonces la contraseña se lee de la entrada estándar
sin preguntar.
-inmediato
Solicite la contraseña y léala desde stdin (equivalente a la CONTRASEÑA argumento para
dacs_authenticate). La contraseña no se repite.
-q
Sea más silencioso reduciendo el nivel de salida de depuración.
-r rol-módulo-especificación
Roles para nombre de usuario se puede determinar dando esta bandera, que es inmediatamente
seguido por un roles-módulo-especificación. -r la bandera puede repetirse, y los roles resultantes
están combinados. Cada roles-módulo-especificación es esencialmente una representación alternativa de un
Cláusula de roles que utiliza dacs_authenticate(8)[13]. Sucesivo -r los componentes son
nombres asignados, roles_module_1, roles_module_2, etc., principalmente para informes de errores
propósitos.
A roles-módulo-especificación tiene la siguiente sintaxis:
El módulo componente es equivalente a la cláusula Roles Enlance[14] directiva y es
ya sea el nombre de un módulo de roles integrado disponible, una abreviatura válida del mismo,
o la URL (absoluta) de un módulo de roles externos.
Las banderas pueden seguir el módulo componente, en cualquier orden. A roles-módulo-especificación termina cuando
se encuentra el primer indicador no válido (o el final de los indicadores).
El -O bandera es equivalente a una OPCIÓN[10] Directiva.
El -De La bandera va seguida de un argumento que es el nombre de un archivo desde el que leer
opciones, una por línea, en el formato nombre =propuesta de. Líneas en blanco y líneas que comienzan con
un '#' se ignora; tenga en cuenta que estas líneas no comienzan con "-O" y las comillas son simplemente
copiado y no interpretado. los -De La bandera se puede usar para evitar poner contraseñas
la línea de comando y facilita la escritura de expresiones que de otro modo tendrían
para escapar con cuidado para evitar la interpretación por parte del caparazón, por ejemplo.
El -expr bandera es equivalente a la EXPR[11] directiva. los -vfs la bandera se usa para
configurar VFS[12] directivas requeridas por módulo.
-u nombre de usuario
-usuario nombre de usuario
El nombre de usuario con el que autenticarse (equivalente al NOMBRE DE USUARIO argumento para
dacs_authenticate). Este nombre de usuario está implícitamente asociado con el efectivo
federación y jurisdicción (ver el -fn[15] y -fj[16] banderas).
-v
El -v La bandera sube el nivel de salida de depuración para depurar o (si se repite) rastrear.
EJEMPLOS
Seguridad
If dacsauth utiliza un módulo incorporado para realizar la autenticación, debe ejecutar setuid o
setgid para obtener suficientes privilegios para acceder al archivo de contraseña requerido (el mismo
es cierto para los módulos de roles integrados). Si usa un módulo externo, ese módulo
necesidad de ejecutar con suficientes privilegios para acceder DACS claves criptográficas,
específicamente federation_keys y posiblemente DACS o archivos de contraseña del sistema; la externa
El módulo deberá ejecutarse con suficientes privilegios para acceder a los archivos que
requiera.
Asegúrese de utilizar las claves de federación que sean correctas para su federación. Referenciar
Los módulos de autenticación en dos o más federaciones probablemente no funcionarán.
dacsauth por lo tanto, normalmente no debe ejecutarse como el UID del usuario que lo invoca
(a menos que sea root) porque no podrá acceder a la información
Requiere. Esto también evitará que un usuario "haga trampa" (p. Ej., Adjuntando a la
módulo en ejecución con un depurador).
Este ejemplo autentica al usuario "bobo" con la contraseña "test" contra el DACS archivo de contraseña
/ usr / local / dacs / conf / passwd:
% dacsauth -m passwd passwd obligatorio
-vfs "[passwds] dacs-kwv-fs: / usr / local / dacs / conf / passwd" -q -u bobo -p test
Si el estado de salida del comando es cero, la prueba de autenticación se realizó correctamente; de lo contrario,
ha fallado.
El siguiente ejemplo intenta autenticar "bobo" con su archivo de contraseña de Unix. los
El programa solicita la contraseña.
% dacsauth -m se requiere contraseña unix -u bobo -prompt
En el siguiente ejemplo, dacsauth intenta autenticar "bobo" a través de NTLM en
winders.ejemplo.com:
% dacsauth -m ntlm passwd suff -OSAMBA_SERVER = "winders.example.com" -prompt -u bobo
Este ejemplo es similar al anterior, excepto que un módulo de autenticación externo
se utiliza y la contraseña se lee de un archivo. Debido al módulo externo, adicional
se debe proporcionar la configuración; en particular, la ubicación de federation_keys y el
Deben especificarse los nombres de federación y jurisdicción.
% dacsauth -m https://example.example.com/cgi-bin/dacs/local_ntlm_authenticate \
passwd suficiente -OSAMBA_SERVER = "winders.example.com" \
-fn EJEMPLO -fj FEDROOT -u bobo -pf mypass \
-DVFS = "[federation_keys] dacs-fs: / usr / local / dacs / federations / example / federation_keys"
Para autenticarse contra el Google[17] cuenta [email protected], uno podría usar:
% dacsauth -m http passwd suf \
-OAUTH_URL = "https://www.google.com/accounts/ClientLogin" \
-OUSERNAME_PARAMETER = Correo electrónico -OPASSWORD_PARAMETER = Passwd \
-Oservicio = xapi -Osource = DSS-DACS-1.4 -prompt -u [email protected]
En el siguiente ejemplo, se evalúa una expresión para determinar si la autenticación
debería tener éxito. Se solicita al usuario ("bobo") una contraseña. Solo si la cadena "foo" es
dada, la autenticación tendrá éxito. Un ejemplo más realista podría llamar a otro programa para
ayudar a tomar la determinación, por ejemplo.
% dacsauth -m expr expr sufi \
-expr '$ {Args :: PASSWORD} eq "foo"? $ {Args :: NOMBRE DE USUARIO}: "" '-user bobo -prompt
Autenticación contra Apache resumen archivo de contraseña se realiza de la siguiente manera
ejemplo, donde la contraseña se lee de stdin:
% echo "prueba" | dacsauth -m apache digerir suficiente \
-OAUTH_MODULE = mod_auth_digest \
-OAUTH_FILE = / usr / local / apache2 / conf / passwords.digest \
-OAUTH_REALM = "Área de autenticación de resumen de DACS" \
-u bobo -pf-
La autenticación a través del módulo PAM funciona de manera diferente a los otros módulos, y es más
complicado de usar, porque dacsauth puede necesitar ejecutarse varias veces, dependiendo de lo que
información que PAM requiere. En lugar de devolver una decisión de sí / no, dacsauth puede imprimir
solicita más información para stdout. Revise los detalles operativos presentados en
dacs_authenticate(8)[18] y pamd(8)[19] antes de intentar utilizar este módulo.
El siguiente ejemplo demuestra el uso del módulo desde la línea de comandos. Una vez que el básico
se entienden las ideas, debería ser evidente cómo escribir un guión para realizar la
iteraciones necesarias. Es posible que los detalles del ejemplo, como las rutas, deban ajustarse para
tu entorno. Tenga en cuenta que en este ejemplo el nombre de usuario no se especifica la primera vez
dacsauth se ejecuta, aunque podría serlo si se conociera.
% dacsauth -m pam solicitado suficiente \
-vfs "[federation_keys] dacs-fs: / usr / local / dacs / federations / dss / federation_keys" \
-OPAMD_HOST = localhost -OPAMD_PORT = dacs-pamd -fj EJEMPLO -fn TEST
AUTH_PROMPT_VAR1 = "Iniciar sesión:"
AUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"
% dacsauth -m pam solicitado suficiente \
-vfs "[federation_keys] dacs-fs: / usr / local / dacs / federations / dss / federation_keys" \
-OAUTH_PROMPT_VAR1 = "bobo" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
AUTH_PROMPT_VAR2 = "Contraseña:"
AUTH_TRANSID="10.0.0.124:52188:88417:5ffb0015f21ea546"
% dacsauth -m pam solicitado suficiente \
-vfs "[federation_keys] dacs-fs: / usr / local / dacs / federations / dss / federation_keys" \
-OAUTH_PROMPT_VAR2 = "contraseña" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
La primera vez dacsauth se ejecuta en el ejemplo devuelve un mensaje para el nombre de usuario
("Inicio de sesión:") que está asociado con la variable de transacción AUTH_PROMPT_VAR1 y
identificador de transacción (AUTH_TRANSID). Este último debe pasarse a la siguiente
ejecuciones de dacsauth. La segunda corrida de dacsauth pasa el nombre de usuario ("bobo") y
devuelve otro mensaje ("Contraseña:") que está asociado con la variable de transacción
AUTH_PROMPT_VAR2. La tercera ejecución pasa la contraseña ("contraseña") pero no se le solicita
devuelto, lo que indica que la sesión está completa y el estado de salida del programa refleja
el resultado de la autenticación.
Consejo
Ya sea dacsauth requiere una contraseña para recuperar roles depende de los roles particulares
módulo que se está utilizando. Por ejemplo, no se requiere una contraseña roles_unix_locales[20] o
roles_locales[21] para obtener roles, pero roles_ldap_locales[22] probablemente necesitará un
contraseña para enlazar al directorio y obtener roles.
Este ejemplo imprime la cadena de roles para el usuario "bobo" llamando al
roles_unix_locales[20] módulo:
% dacsauth -r unix -u bobo
bobo, rueda, www, usuarios
El siguiente ejemplo es similar al anterior, excepto que se utiliza un módulo de roles externos:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_unix_roles \
-DVFS = "[federation_keys] dacs-fs: / usr / local / dacs / federations / federation_keys" \
-fn EJEMPLO -u bobo
bobo, rueda, www, usuarios
El módulo de roles externos puede ejecutarse en un host diferente al que se está ejecutando.
dacsauth. Previsto dacsauth ha sido instalado y un archivo federation_keys coincidente es
disponible en el host local, el host local no necesita ser un DACS jurisdicción o tener alguna
otros DACS configuración.
El siguiente ejemplo imprime el papel cadena[23] para el usuario "bobo", conocido en el
directorio por el nombre común "Bobo Baggins", utilizando el (externo) roles_ldap_locales[ 22 ]
módulo y el método de enlace "directo":
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-Of / usr / local / dacs / ldap_roles_options_direct -u "Bobo Baggins" \
-DVFS = "[federation_keys] dacs-fs: / usr / local / dacs / federations / federation_keys" \
-fn EJEMPLO -fj FEDROOT -prompt
DnsAdmins, Print_Operators, Domain_Admins, Administradores
Debido a que hay demasiados indicadores para colocarlos fácil y correctamente en la línea de comando, el
Las opciones que se necesitan para hacer esto se leen de un archivo especificado por el -De bandera.
Esto también proporciona una forma más segura de pasar contraseñas al programa; asegurar que el acceso
al archivo se restringe adecuadamente. El archivo
/ usr / local / dacs / ldap_roles_options_direct puede contener una configuración como esta:
LDAP_BIND_METHOD = directo
LDAP_ADMIN_URL * = "ldap: //winders.example.com/CN=". encode (url, $ {Args :: DACS_USERNAME}). ", CN = Usuarios, DC = ejemplo, DC = com"
LDAP_ROLES_SELECTOR * = "$ {LDAP :: attrname}" eq "memberOf"? strtr (ldap (rdn_attrvalue, \
ldap (dn_index, "$ {LDAP :: attrvalue}", 1)), "", "_"): ""
El siguiente ejemplo es como el anterior, excepto que utiliza el enlace "indirecto"
método y, por lo tanto, no es necesario que se le proporcione el nombre común del usuario:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-De / usr / local / dacs / ldap_roles_options_indirect -u bobo \
-DVFS = "[federation_keys] dacs-fs: / usr / local / dacs / federations / federation_keys" \
-fn EJEMPLO -fj FEDROOT -p bobospassword
DnsAdmins, Print_Operators, Domain_Admins, Administradores
El archivo / usr / local / dacs / ldap_roles_options_indirect puede contener una configuración como
modo:
LDAP_BIND_METHOD = indirecto
LDAP_ADMIN_URL = ldap: //winders.example.com/CN=Administrator,CN=Users,DC=example,DC=com
# Buscar bajo Usuarios ...
LDAP_SEARCH_ROOT_DN = CN = Usuarios, DC = ejemplo, DC = com
LDAP_ADMIN_PASSWORD = theSecretAdminPassword
LDAP_SEARCH_FILTER * = "(sAMAccountName = $ {Args :: DACS_USERNAME})"
LDAP_ROLES_SELECTOR * = "$ {LDAP :: attrname}" eq "memberOf"? strtr (ldap (rdn_attrvalue, \
ldap (dn_index, "$ {LDAP :: attrvalue}", 1)), "", "_"): ""
Supongamos que uno quisiera usar dacsauth para autenticar a un usuario a través de LDAP de una manera análoga a
esta configuración dacs.conf:
URL "http://example.example.com/cgi-bin/dacs/local_ldap_authenticate"
ESTILO "contraseña, add_roles"
CONTROL "requerido"
LDAP_BIND_METHOD "directo"
LDAP_USERNAME_URL * '"ldap: //winders.example.com/cn=". encode (url, $ {Args :: NOMBRE DE USUARIO}). ", cn = Usuarios, dc = ejemplo, dc = local" '
LDAP_USERNAME_EXPR * '"$ {LDAP :: sAMAccountName}"'
LDAP_ROLES_SELECTOR * '"$ {LDAP :: attrname}" eq "memberOf" \
? strtr (ldap (rdn_attrvalue, ldap (dn_index, "$ {LDAP :: attrvalue}", 1)), "", "_"): "" '
Un archivo como este (por ejemplo, / usr / local / dacs / ldap_auth_options_direct) contendría el
siguientes directivas:
LDAP_BIND_METHOD = directo
LDAP_USERNAME_URL * = "ldap: //winders.example.com/cn=". encode (url, $ {Args :: NOMBRE DE USUARIO}). ", cn = Usuarios, dc = ejemplo, dc = local"
LDAP_USERNAME_EXPR * = "$ {LDAP :: sAMAccountName}"
LDAP_ROLES_SELECTOR * = "$ {LDAP :: attrname}" eq "memberOf" \
? strtr (ldap (rdn_attrvalue, ldap (dn_index, "$ {LDAP :: attrvalue}", 1)), "", "_"): ""
Luego, la autenticación podría realizarse usando un comando como este:
% dacsauth -fj FEDROOT -m http://example.example.com/cgi-bin/dacs/local_ldap_authenticate contraseña suf \
-De / usr / local / dacs / ldap_auth_options_direct \
-DVFS = "[federation_keys] dacs-fs: / usr / local / dacs / federations / federation_keys" \
-fn EJEMPLO -u bobo -prompt
La diagnostica
El programa sale de 0 si la autenticación fue exitosa o con 1 si la autenticación falló o
ocurrió un error.
Use dacsauth en línea usando los servicios de onworks.net
