Il s'agit de la commande dacstoken qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
dacstoken - administrer les mots de passe à usage unique basés sur le hachage
SYNOPSIS
dacstoken [options dacs[1]] [-tout] [-base num] [-compteur num] [-chiffres num]
[-désactiver | -permettre] [-hotp-fenêtre num] [-clés type d'élément]
[[-clé valeur clé] | [-fichier clé nom de fichier] | [-invite-clé]] [-mode mode otp]
[-clés de sortie type d'élément]
[[-Broche Pinval] | [-fichier-pin nom de fichier] | [-pin-invite]] [-pin-contraintes str]
[-rnd] [-la graine str] [-en série str] [-top-delta num] [-top-drift nfenêtres]
[-top-hachage alg]
[-top-timestep secondes] [-vfs vfs_uri] [spec-op] [Nom d'utilisateur]
DESCRIPTION
Ce programme fait partie du DACS suite.
La dacstoken utilitaire administre DACS comptes associés à un mot de passe à usage unique (OTP)
appareils générateurs (tokens) ou des clients logiciels. En utilisant les options de la ligne de commande, il
calcule les valeurs OTP ; les paramètres de compte de jeton peuvent être remplacés, mais les comptes ne le sont même pas
nécessaire.
Une authentification forte à deux facteurs peut être fournie lorsque dacs_authentifier[2] est configuré
d'utiliser le local_token_authenticate[3] module d'authentification ou lorsque dacstoken est utilisé en tant que
un programme autonome pour valider les mots de passe. Le mode de mot de passe à usage unique basé sur HMAC
(HOTP), basé sur un compteur d'événements et spécifié par RFC 4226[4], et le temps
mode de mot de passe à usage unique (TOTP), tel que spécifié par le Nouveautés IETF Internet-Brouillon[5] proposition,
sont pris en charge. Supplémentaire opérationnel modes[6] appelé OCRA (SERMENT Réponse au défi
Algorithmes), décrites dans un projet Internet de l'IETF, ne sont pas encore entièrement prises en charge.
Notes
Cette version de dacstoken intègre de nombreux changements qui ne sont pas rétrocompatibles
avec la version 1.4.24a et antérieure. Certains indicateurs de ligne de commande fonctionnent différemment, et
le format du fichier de compte a changé. Si vous avez utilisé cette commande précédemment
versions, veuillez faire une copie de sauvegarde de votre fichier de compte token et consulter ce manuel
page attentivement avant de continuer (notez le -convertir flag[7] en particulier).
Important
Aucun logiciel fourni par le fournisseur n'est requis par dacstoken pour fournir sa fonctionnalité. Les
les appareils actuellement pris en charge ne nécessitent aucune interaction d'enregistrement ou de configuration
avec les vendeurs et dacstoken ne sauraient interagir avec vendeurs' serveurs or utilisé tous
propriétaire ,software. Un logiciel fourni par le fournisseur peut être nécessaire pour effectuer
l'initialisation ou la configuration d'autres périphériques à jeton, cependant, et dacstoken
pas leur fournir un tel soutien.
Chaque périphérique à jeton correspond généralement à exactement un compte géré par
dacstoken, bien que certains fournisseurs produisent des jetons pouvant prendre en charge plusieurs comptes.
Pour résumer, cet utilitaire :
· crée et administre DACS comptes associés aux compteurs et aux temps
mots de passe à usage unique
· fournit des fonctionnalités de validation et de test
· fournit une capacité d'authentification en ligne de commande
Sécurité
Seulement le DACS l'administrateur devrait être en mesure d'exécuter avec succès ce programme à partir du
ligne de commande. Parce que DACS clés et fichiers de configuration, y compris le fichier utilisé pour
comptes de magasin, doit être limité à l'administrateur, ce sera normalement le
cas, mais un administrateur prudent définira des autorisations de fichier pour refuser l'accès à tous
d'autres utilisateurs.
Notes
La dacs_token(8)[8] le service Web offre aux utilisateurs un libre-service limité
fonctionnalité pour définir ou réinitialiser le code PIN de son compte et synchroniser son jeton. Ça aussi
dispose d'un mode de démonstration pour simplifier les tests et l'évaluation.
PINs (Compte mots de passe)
A dacstoken Le compte peut éventuellement être associé à un code PIN (c'est-à-dire un mot de passe). À
s'authentifier auprès d'un tel compte, un utilisateur doit fournir le mot de passe à usage unique produit
par le jeton ainsi que l'épingle. Les TOKEN_REQUIRES_PIN[9] la directive de configuration détermine
si un code PIN doit être fourni lors de la création ou de l'importation d'un compte ; il ne s'applique pas dans
conjonction avec le -delpin flag, puisque seul un administrateur devrait être en mesure d'effectuer
cette fonction.
Un hachage du code PIN est stocké dans l'enregistrement du compte plutôt que le code PIN lui-même. Le même
méthode utilisée par dacspasswd(1)[10] et dacs_passwd(8)[11] est appliqué, et dépend de la
PASSWORD_DIGEST[12] et PASSWORD_SALT_PREFIX[13] directives en vigueur. Si
PASSWORD_DIGEST[12] est configuré, cet algorithme est utilisé, sinon un temps de compilation
par défaut (SHA1) est utilisé. Si un utilisateur oublie le code PIN, l'ancien ne peut pas être récupéré, il
doit être supprimé ou un nouveau doit être défini.
Certains appareils à jeton ont une capacité PIN intégrée. L'utilisateur doit entrer un code PIN dans
l'appareil avant que l'appareil émette un mot de passe à usage unique. Ce « PIN de l'appareil » est
complètement distinct du code PIN du compte géré par dacstoken, et ce manuel est
uniquement concerné par la dacstoken ÉPINGLER. Le code PIN de l'appareil doit toujours être utilisé dans la mesure du possible ;
le dacstoken Le code PIN est fortement recommandé et est requis pour l'authentification à deux facteurs
(à moins qu'un facteur d'authentification supplémentaire ne soit appliqué d'une autre manière).
Étant donné que seul l'administrateur est autorisé à exécuter cette commande, aucune restriction n'est imposée
sur la longueur ou la qualité des codes PIN fournis par l'administrateur ; un message d'avertissement
sera émis, cependant, si le mot de passe est considéré comme faible tel que déterminé par le
PASSWORD_CONSTRAINTS[14] directive.
Une fois mots de passe
Les deux types de dispositifs de mot de passe à usage unique calculent une valeur de mot de passe en utilisant un
algorithme de hachage à clé (RFC 2104[15] FIPS 198[16]). Dans la méthode basée sur le compteur, l'appareil
et le serveur partagent une clé secrète et une valeur de compteur qui sont hachées pour donner une valeur numérique
valeur affichée dans une certaine base avec un certain nombre de chiffres. À succès
L'authentification nécessite que l'appareil et le serveur calculent les mots de passe correspondants. A chaque fois le
l'appareil produit un mot de passe, il incrémente son compteur. Lorsque le serveur reçoit une correspondance
mot de passe, il incrémente son compteur. Car il est possible que les deux compteurs deviennent
non synchronisé, l'algorithme de correspondance du serveur autorisera généralement le mot de passe d'un client
se situer dans une "fenêtre" de valeurs de compteur. La méthode basée sur le temps est similaire, la principale
différence étant que l'heure Unix actuelle (telle que renvoyée par fiable(3)[17], par exemple) est
utilisé pour établir une "fenêtre de pas de temps" qui sert de valeur de compteur dans le calcul
du hachage sécurisé. Parce que les horloges en temps réel sur l'appareil et le serveur peuvent ne pas être
suffisamment synchronisé, l'algorithme d'appariement du serveur doit également permettre à un client
mot de passe pour tomber dans un certain nombre de fenêtres temporelles pour ces appareils.
Sécurité
Un jeton peut se voir attribuer une clé secrète permanente (parfois appelée une graine OTP) par son
fabricant ou la clé peut être programmable. Cette clé secrète est utilisée par le token
procédure de génération de mot de passe et il est essentiel qu'elle reste privée. Si le jeton
n'est pas programmable, la clé est obtenue auprès du fournisseur (pour un jeton HOTP, généralement
en fournissant le numéro de série de l'appareil et trois mots de passe consécutifs). Un enregistrement
de chaque mappage du numéro de série à la clé secrète doit être conservé dans un endroit sûr.
Si la clé secrète est programmable, comme c'est probablement le cas avec un client logiciel, elle est
doit être au moins 128 bits de longueur ; un minimum de 160 les bits est recommandé. le
key est représentée par une chaîne hexadécimale de 16 (ou plus) caractères. La clé doit
être obtenu à partir d'une source de bits aléatoires de qualité cryptographique. Certains clients peuvent être
capable de générer une clé appropriée, mais vous pouvez utiliser dacsexpr(1)[18]:
% dacsexpr -e "aléatoire(chaîne, 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"
Conseil
Les jetons peuvent être utilisés à des fins d'authentification autres que la connexion à l'ordinateur. Pour
Par exemple, en fournissant un numéro de compte, un code PIN et une valeur de jeton, les clients peuvent rapidement
être authentifié par téléphone, réduisant ou éliminant le besoin de coûteux et
questions de sécurité chronophages.
Les appareils et applications à mot de passe à usage unique ont les paramètres opérationnels suivants.
Ces paramètres déterminent la séquence de mots de passe qui est générée. Certains opérationnels
les paramètres peuvent être fixés (par la norme pertinente ou en raison de la mise en œuvre), tandis que
d'autres peuvent être partiellement ou totalement configurables par l'utilisateur. Veuillez vous référer au
références et documentation des fabricants pour plus de détails.
base
La base dans laquelle les mots de passe sont affichés.
contrer
Pour le mode HOTP uniquement, la valeur actuelle du compteur.
chiffres
Le nombre de chiffres dans chaque mot de passe à usage unique.
key
La clé secrète (semence OTP).
numéro de série
Un identifiant ou un nom unique pour l'appareil.
taille du pas de temps
Pour le mode TOTP uniquement, la largeur de chaque intervalle de temps, en secondes. Le même mot de passe
sera généré dans un intervalle donné ; c'est-à-dire qu'il s'agit de la « durée de vie » ou de la validité
période de chaque mot de passe TOTP.
En plus de ces paramètres, dacstoken utilise plusieurs par compte (c'est-à-dire par appareil)
paramètres:
accepter-fenêtre
Lors de la validation d'un mot de passe HOTP, le nombre maximum de mots de passe à prendre en compte après le
mot de passe attendu.
dérive
Pour le mode TOTP uniquement, le nombre de secondes d'ajustement de l'horloge du serveur
vers l'avant ou vers l'arrière pour mieux le synchroniser avec l'appareil. Ceci est utilisé pour
compenser les jetons ou les logiciels clients dont les horloges ne sont pas bien synchronisées avec
celui du serveur.
fenêtre-dérive
Pour le mode TOTP uniquement, mais de manière analogue à la fenêtre d'acceptation, le nombre maximum de
intervalles (chacun de la taille du pas de temps) pour rechercher en avant et en arrière lors de la validation
contre un mot de passe donné.
synchronisation-otps
Pour le mode HOTP uniquement, le nombre de mots de passe à usage unique consécutifs requis pour
synchroniser le compte avec l'appareil.
Nom d'utilisateur
Le nom du DACS compte lié à l'appareil.
L'authentification basée sur des appareils à mot de passe à usage unique présente les avantages suivants :
· Chaque fois qu'un utilisateur s'authentifie, un mot de passe différent sera généré (avec un
probabilité); les utilisateurs ne peuvent donc pas noter "le mot de passe" car le mot de passe est
toujours en évolution; les utilisateurs ne peuvent pas oublier leur mot de passe ;
· Une fois utilisé, un mot de passe en mode HOTP est immédiatement « consommé » et il est peu probable qu'il soit utilisé
encore pendant longtemps; avec des paramètres de configuration adaptés, un mot de passe en mode TOTP
« expire » automatiquement dans un intervalle de temps relativement court et il est peu probable qu'il soit
utilisé à nouveau pendant longtemps;
· Si aucune correction de dérive d'horloge n'est requise, un compte en mode TOTP peut être en lecture seule
opération;
· Étant donné que le mot de passe est peu susceptible d'être un nombre ou une chaîne facile à deviner, il doit
être plus fort que la plupart des mots de passe sélectionnés par l'utilisateur ;
· Un jeton HOTP peut être la base d'une méthode d'authentification mutuelle (« bidirectionnelle ») ; les
serveur montre à l'utilisateur le prochain mot de passe de son token pour confirmer son identité (avec les deux
parties avançant leurs compteurs), alors le client montre au serveur le prochain mot de passe
confirmer son identité ;
· Si un renifleur de clé est installé sur l'ordinateur de l'utilisateur, un mot de passe reniflé ne
faire du bien à un attaquant à moins qu'un -middle man-in le- attaquer[19] est possible ; étant donné N
mots de passe consécutifs, il est encore très difficile de calculer le mot de passe N + 1 sans
connaître la clé secrète ;
· Il est plus difficile pour les utilisateurs de partager un compte (bien que les utilisateurs puissent parfois
considérer cela comme un inconvénient);
· Si un dacstoken Le code PIN est attribué à un compte et un attaquant obtient le
token, il est toujours difficile pour l'attaquant de s'authentifier sans connaître le code PIN ;
· Un moyen rapide et immédiatement efficace de désactiver un compte consiste simplement à saisir un
jeton matériel (par exemple, si un employé est licencié), bien qu'un compte puisse être désactivé en
ce programme ou en utilisant le révocation liste[20]
· Dans le cas d'un logiciel client qui s'exécute sur un appareil mobile, tel qu'un téléphone ou un PDA,
les utilisateurs transportent déjà l'appareil avec eux ; des clients gratuits sont disponibles, donc il
peut être sans frais supplémentaires (notez que les appareils mobiles peuvent ne pas offrir le même
inviolabilité, durabilité, secret des clés, précision de l'horloge, etc. d'un jeton matériel).
Les appareils à mot de passe à usage unique présentent les inconvénients potentiels suivants :
· Il y a une dépense unique pour un jeton matériel (en fonction du volume d'achat,
vous pouvez vous attendre à payer 10 à 100 $ US chacun), et il y a la possibilité d'avoir à
remplacer un jeton perdu ou cassé, ou la batterie d'un jeton (certaines unités ont un
batterie non remplaçable, les rendant jetables après quelques années) ;
· La configuration initiale est un peu plus difficile qu'avec d'autres authentifications
méthodes, et les utilisateurs peu familiers avec les appareils devront être informés de leur
utilisation;
· Bien qu'ils soient généralement assez petits (par exemple, 5 cm x 2 cm x 1 cm) et puissent être attachés à
un porte-clés ou un cordon, ou conservés dans un portefeuille, les utilisateurs peuvent grimacer d'avoir à porter un jeton
avec eux;
· Les utilisateurs peuvent oublier d'avoir leur token avec eux ou perdre le token ;
· Un appareil mobile (avec un client logiciel) est probablement une cible probable pour le vol, plus
donc qu'un jeton matériel (d'où l'importance supplémentaire d'un code PIN pour cet appareil) ;
· Contrairement à un jeton matériel où la clé est gravée dans inaccessible, inviolable
mémoire, la clé configurée dans un logiciel client est susceptible d'être lisible par son
propriétaire, rendant possible le partage du compte ;
· La saisie d'une valeur de départ de 40 caractères ou plus dans un appareil mobile peut être frustrante
et sujet aux erreurs ;
· Une fois qu'un périphérique TOTP génère un mot de passe, un nouveau mot de passe ne peut pas être généré tant que le
fenêtre de pas de temps suivante, obligeant l'utilisateur à attendre 30 (ou éventuellement 60) secondes (par exemple,
si une erreur de saisie est commise) ;
· Certains appareils sont difficiles à lire dans des conditions de faible luminosité ; utilisateurs presbytes et ceux
malvoyants peuvent avoir des difficultés à lire l'écran.
hybrides
Les comptes gérés par dacstoken sont complètement séparés des comptes utilisés par
local_passwd_authenticate[21] ou tout autre DACS module d'authentification.
Les comptes des appareils HOTP et TOTP peuvent être soit combinés soit séparés. Si le virtuel
le type d'élément de magasin de fichiers auth_hotp_token est défini, il n'est utilisé que pour les comptes associés
avec des jetons HOTP. De même, si le type d'élément du magasin de fichiers virtuel auth_totp_token est
défini, il n'est utilisé que pour les comptes associés aux tokens TOTP. Si l'un des types d'articles est
non défini, les comptes sont accessibles via les DAC magasin de fichiers virtuel utilisant le type d'élément
auth_token. Il est supposé que les autorisations de fichier sur les bases de données de compte sont telles que tous
l'accès est limité à l'administrateur et local_token_authenticate.
Si les comptes des deux types d'appareils sont combiné, car chaque nom d'utilisateur pour un
la méthode d'authentification doit être unique, si un individu possède les deux types de jeton, il doit
se voir attribuer des noms d'utilisateur différents. Ainsi, par exemple, si Auggie a un jeton HOTP et un
jeton TOTP, le premier peut correspondre au nom d'utilisateur auggie-hotp et le second à
auggie-top; le formulaire de connexion pourrait inclure une entrée en mode périphérique qui permettrait à Auggie
pour taper simplement "auggie" dans le champ du nom d'utilisateur et JavaScript pour ajouter automatiquement le
suffixe approprié en fonction du mode de périphérique sélectionné. Un inconvénient évident de cette
configuration est qu'il en résulte deux DACS identités pour le même individu;
il faudrait s'en souvenir si une règle de contrôle d'accès était nécessaire pour identifier Auggie
explicitement. Si les deux jetons doivent correspondre au même DACS identité, la clause Auth pourrait
enlevez le suffixe après une authentification réussie, mais l'administrateur
Il faut se méfier du cas de deux Auggies différents, chacun utilisant un type d'appareil différent.
Configurer à la fois les types d'éléments auth_hotp_token et auth_totp_token (ou un seul d'entre eux
et auth_token) sépare les comptes et permet d'utiliser le même nom d'utilisateur pour
les deux types d'appareils. Auggie pourrait donc avoir un enregistrement de compte avec le même
nom d'utilisateur pour les deux types d'appareils. Cette approche nécessite que le mode de l'appareil soit spécifié
lorsqu'une opération est demandée afin que le type d'élément correct puisse être utilisé ; cela signifie que
les utilisateurs doivent savoir quel type d'appareil ils utilisent (peut-être en y apposant une étiquette).
Reportez-vous aux détails importants concernant DACS identités[22].
La -vfs est utilisé pour configurer ou reconfigurer le type d'élément auth_token.
Seules les clés qui satisfont à l'exigence de longueur de clé minimale (16 octets) peut être stocké avec
informations de compte (par exemple, avec -ensemble or -importer). Dans d'autres contextes, l'exigence est
pas appliqué.
La clé secrète est chiffrée par dacstoken lorsqu'il est écrit dans le fichier de compte. Les
le type d'élément de magasin de fichiers virtuel auth_token_keys identifie les clés de chiffrement pour dacstoken
utiliser; les -clés ainsi que -clés de sortie les drapeaux spécifient des alternatives (voir clé dac(1)[23]). Si la
les clés de cryptage sont perdues, les clés secrètes sont pratiquement irrécupérables.
Important
Si un attaquant découvre une clé secrète, générer des mots de passe utilisables sans posséder
le jeton ne sera pas difficile. Pour au moins certains jetons matériels, la clé est brûlée
dans l'appareil et ne peut pas être modifié ; dans ce cas, si la clé fuit, l'appareil
devrait être détruit. Si un token est perdu, le compte correspondant doit être désactivé.
Dans le cas où un attaquant trouve un jeton perdu ou découvre une clé secrète, ayant une forte
Le code PIN associé au compte rendra difficile l'obtention par l'attaquant
accéder.
Important
· Cette méthode d'authentification a été testée avec les produits OTP suivants :
· Authenex Une clé 3600[24] jeton matériel de mot de passe à usage unique (HOTP) ;
· féitien Les technologies[25] Matériel de mot de passe à usage unique OTP C100 et OTP C200
jetons, fournis par HyperSécu Informations Système[26] ; et
· SERMENT Token [27] logiciel d'Archie Cobbs, qui implémente à la fois
HOTP et TOTP sur le iPod Toucher, iPhone, ainsi que iPad[28].
· Technologies Feitian iSerment Lite[29] Application logicielle HOTP pour iPod
Touchez, iPhone et iPad.
D'autres fabricants intéressés à faire prendre en charge leurs produits par DACS
bienvenue à contacter Dss.
· Photomatons[30] : Feitian OTP C200, iPod Touch avec l'application OATH Token, Authenex A-Key
3600 (dans le sens des aiguilles d'une montre en partant du haut à gauche)
· Bien que cette implémentation devrait fonctionner avec des produits similaires et conformes,
ces produits sont officiellement pris en charge par DACS.
· Les jetons matériels peuvent être achetés directement auprès des vendeurs.
· Tout problème avec l'utilisation de jetons pour s'authentifier via DACS ne sont pas les
responsabilité du vendeur de jetons.
Importation ainsi que Exportation OTP hybrides
Les descriptions des comptes et leurs tokens peuvent être chargées ou vidés (se référer au -importer
ainsi que -exportation drapeaux). Cela simplifie le provisionnement en masse, la sauvegarde et la portabilité. Les
les informations de compte sont écrites dans un format XML simple et spécifique à l'application (presque).
Le format compris par dacstoken se compose d'un élément racine ("otp_tokens"), suivi de
zéro ou plusieurs éléments "otp_token", un par ligne, chacun avec obligatoire et facultatif
attributs (décrits ci-dessous). La déclaration XML doit être omise. Espace blanc de premier plan et
les lignes vides sont ignorées, de même que les commentaires XML sur une seule ligne. De plus, les lignes ayant un "#"
car le premier caractère non blanc est ignoré. Attributs facultatifs qui ne sont pas
présents reçoivent des valeurs par défaut. L'algorithme de résumé par défaut est SHA1. Attribut court
les noms sont utilisés pour économiser de l'espace. Attributs non reconnus et attributs sans rapport avec le
mode périphérique, sont ignorés. Des guillemets simples ou doubles (ou les deux) dans l'attribut XML
les valeurs doivent être remplacées par la référence d'entité correspondante ("'" et """,
respectivement), de même que les caractères "<" (inférieur à) et "&" (esperluette). Un ">" (plus
que) le caractère peut éventuellement être remplacé par une séquence ">", mais aucune autre entité
les références sont reconnues.
Les attributs reconnus sont :
· b :
base
-- base pour la valeur OTP
[Optionnel:
10 (Par défaut),
16ou 32]
· c :
contrer
-- valeur actuelle du compteur pour HOTP, en hexadécimal si précédé
par "0x" (ou "0X"), décimal sinon
[Optionnel:
la valeur par défaut est 0]
· ré:
OTP dispositif mode
-- "c" (pour HOTP)
ou "t" (pour TOTP)
[Champs obligatoires]
· dn :
nom-résumé
-- l'un des algorithmes de hachage sécurisé
[Optionnel:
SHA1 (par défaut),
SHA224, SHA256,
SHA384, SHA512]
· docteur :
dérive de l'horloge
-- réglage de l'horloge, en secondes, pour TOTP
[Optionnel]
· ek :
clé-cryptée
-- clé secrète cryptée, encodée en base 64
[Obligatoire:
Enregistrements de compte OTP uniquement]
· fr :
état-activé
-- 1 pour activé,
0 pour handicapés
[Champs obligatoires]
· k :
clé-texte en clair
-- clé secrète non cryptée
[Champs obligatoires]
· lu :
dernière mise à jour
-- Heure Unix de la dernière mise à jour de l'enregistrement
[Facultatif : l'heure par défaut est l'heure actuelle]
· sd :
nchiffres
-- nombre de chiffres pour la valeur OTP
[Optionnel:
la valeur par défaut est 6 pour HOTP,
8 pour TOTP]
· p :
code PIN en texte brut
-- valeur du code PIN en texte clair pour le compte
[Obligatoire:
sauf si ph est présent,
pour l'importation seulement]
· tél :
code PIN haché
-- valeur du code PIN haché pour le compte
[Optionnel:
généré par dacstoken
pour les fichiers de compte d'exportation et OTP uniquement]
· s :
numéro de série
-- chaîne d'identification unique pour l'appareil
[Champs obligatoires]
· ts :
pas de temps
-- valeur du pas de temps, en secondes, pour TOTP
[Optionnel:
la valeur par défaut est 30]
· vous :
Nom d'utilisateur
-- un valide DACS nom d'utilisateur associé à ce compte
[Champs obligatoires]
L'exemple suivant décrit deux comptes qui peuvent être créés à l'aide du -importer drapeau:
Sécurité
Étant donné que les enregistrements importés incluent les clés secrètes non cryptées des périphériques OTP, le
le fichier exporté doit rester crypté (par exemple, en utilisant openssl) ou au moins avoir
autorisations de fichier appropriées.
Notes
Un format standard pour l'approvisionnement des appareils OTP est en cours de développement. Ce format peut être
compris par une future version de dacstoken, ou un utilitaire de conversion peut être écrit.
Le format standard est susceptible d'être considérablement plus complexe que le format DACS le format.
OPTIONS
En plus de la norme options dacs[1], une longue liste d'indicateurs de ligne de commande sont
reconnu. Lorsqu'un Nom d'utilisateur est donné, les valeurs par défaut associées à ce compte sont
utilisé, sinon les valeurs par défaut recommandées ou spécifiques à l'implémentation sont utilisées. Ces défauts
les valeurs peuvent généralement être remplacées sur la ligne de commande. Certains drapeaux ne sont autorisés qu'avec un
mode de jeton particulier (par exemple, -compteur, -top-show) et leur apparition implique que le mode,
faire le -mode indicateur inutile ; d'autres indicateurs sont indépendants du mode (par exemple, -effacer,
-permettre). C'est une erreur d'utiliser une combinaison d'indicateurs mutuellement incompatibles. Des drapeaux qui
sans signification avec l'opération sélectionnée sont ignorés, bien qu'ils impliquent toujours un mode.
Les valeurs hexadécimales sont insensibles à la casse. Si une valeur de compteur est requise mais non spécifiée
(par exemple, lors de la création d'un compte), une valeur de compteur initiale de zéro est utilisée.
La spec-op spécifie l'opération à effectuer, avec zéro ou plus modificateur
drapeaux. Si spec-op manque, le -liste l'opération est effectuée. Un spec-op est l'un des l'
Suivante à la suite:
-auth valeur otp
Ce drapeau est comme -valider[31], sauf :
· une Nom d'utilisateur est requis, à partir duquel tous les paramètres sont obtenus (comme la clé);
· si le compte dispose d'un code PIN, celui-ci doit être fourni ;
· si le compte est pour un token HOTP, le compteur sera mis à jour si authentification
est réussi.
Un état de sortie de zéro indique une authentification réussie, tandis que toute autre valeur
signifie que l'authentification a échoué.
-convertir nom de fichier
Chargez un fichier de compte de jeton au format plus ancien (avant la version 1.4.25) à partir de nom de fichier ("-"
signifie lire à partir de stdin), convertissez-le au format le plus récent et écrivez-le sur stdout (comme
by -exportation). Cet indicateur est obsolète et cette fonctionnalité sera supprimée à l'avenir
libération de DACS.
-créer
Créer un compte pour Nom d'utilisateur, qui ne doit pas déjà exister. À d'autres égards, il
fonctionne comme -ensemble[32]. Lors de la création d'un nouveau compte, -en série est requis et -clé is
implicite. Sinon -permettre flag est fourni lors de la création d'un compte, -désactiver est implicite.
Sinon -compteur est fourni, une valeur par défaut de zéro est utilisée. Si l'un des drapeaux PIN est
présent, le code PIN donné sera attribué au compte, sinon le compte ne sera pas
avoir un code PIN (ou le code PIN existant ne sera pas modifié).
-courant
Afficher le facteur de déplacement actuel (c'est-à-dire la valeur du compteur pour HOTP ou l'intervalle
valeur pour TOTP) et OTP attendu pour Nom d'utilisateur. Pour HOTP, le compteur est avancé. Tous
les paramètres sont extraits du compte.
-effacer
Supprimer le compte pour Nom d'utilisateur. La clé secrète de l'appareil et d'autres
les paramètres seront perdus.
-delpin
Supprimez le code PIN, s'il est présent, sur le compte pour Nom d'utilisateur, laissant le compte sans
ÉPINGLE.
-exportation
Écrivez des informations sur tous les comptes, ou un seul compte si Nom d'utilisateur est donné, à
sortie standard. Si un mode est sélectionné, cependant, seuls les comptes ayant ce mode seront
écrit. Ces informations peuvent être rechargées en utilisant -importer or -importer-remplacer. Le résultat
doit être stocké sous une forme cryptée, ou à tout le moins avoir ses autorisations de fichier
régler de manière appropriée. Par exemple:
% dacstoken -uj EXEMPLE -export | openssl enc -aes-256-cbc > dacstoken-exported.enc
Plus tard, vous pourriez faire quelque chose comme :
% openssl enc -d -aes-256-cbc < dacstoken-exported.enc | dacstoken -uj EXEMPLE -import -
-h
-Aide
Affichez un message d'aide et quittez.
-hotp-show num
Commande num mots de passe HOTP consécutifs à partir d'une valeur de compteur et d'une clé données. Les
-compteur flag peut être utilisé pour spécifier une valeur de compteur initiale. La clé peut être
spécifié à l'aide -clé, -fichier cléou -invite-clé. Si un Nom d'utilisateur est fourni, le
la valeur initiale du compteur et la clé sont obtenues à partir du compte HOTP de l'utilisateur, à moins que
la valeur est remplacée sur la ligne de commande ; la valeur de compteur stockée du compte n'est pas
modifié. Ceci est principalement destiné à des fins de débogage.
-importer nom de fichier
-importer-remplacer nom de fichier
Charger les informations de compte et de jeton à partir de nom de fichier; si nom de fichier est "-", stdin est lu.
Si un mode est sélectionné, seuls les comptes ayant ce mode seront lus. Avec -importer c'est
une erreur si un compte importé existe déjà et le traitement s'arrête ; -importer-remplacer
remplacera un compte existant par des données importées.
-l
-liste
-longue
If Nom d'utilisateur est fourni, afficher des informations sur le compte correspondant ; si la
-en série flag est donné, affiche des informations sur le compte avec le numéro de série spécifié
numéro; sinon, listez tous les comptes. Si la -mode drapeau est donné dans l'un de ces cas,
cependant, répertoriez uniquement les comptes dont le mode de fonctionnement est spécifié. Si ce
drapeau est répété, ou avec le -longue indicateur, plus de détails sont affichés : type d'appareil,
état du compte, numéro de série de l'appareil, valeur du compteur (pour HOTP), valeur de dérive d'horloge (pour
TOTP), que le compte dispose ou non d'un code PIN (indiqué par un symbole « + » ou « - »), et
l'heure et la date de la dernière modification du compte.
-Renommer nouveau nom d'utilisateur
Renommer le compte existant pour Nom d'utilisateur être nouveau nom d'utilisateur, et modifier le nouveau
compte en utilisant des arguments de ligne de commande (comme avec -ensemble[32]). Comme cela nécessite deux étapes
qui ne se font pas de manière atomique, si une erreur se produit, il est possible que le nouveau compte
être créé et l'ancien compte existe toujours.
-ensemble
La -ensemble flag est utilisé pour modifier le compte existant pour Nom d'utilisateur basé sur un ou plusieurs
arguments de modificateur (-base, -compteur, -chiffres, -désactiver or -permettre, -clé (ou -fichier clé
or -invite-clé), -Broche (ou -fichier-pin or -pin-invite), ou -en série). Le mode peut également être
modifié en spécifiant -mode, mais des paramètres spécifiques au mode associés au compte
sera perdu (par exemple, la valeur actuelle du compteur sera supprimée si un compte HOTP est
changé en compte TOTP) et les paramètres généraux (comme le numéro de série) seront
conservé à moins d'être remplacé sur la ligne de commande.
-sync liste de mots de passe
En mode HOTP, cela tente de synchroniser le serveur avec le jeton pour Nom d'utilisateurL’
liste de mots de passe est une liste séparée par des virgules de trois mots de passe successifs produits par le
jeton de l'utilisateur (cette fonction "auto-synchronisation" est également disponible via
local_token_authenticate[3]). La séquence donnée doit correspondre à la séquence calculée
exactement, compte tenu des paramètres opérationnels en vigueur ; par exemple, les zéros non significatifs sont
significatif, tout comme la base d'affichage et le nombre de chiffres OTP en vigueur. Si
la synchronisation est réussie, l'utilisateur doit pouvoir s'authentifier à l'aide du prochain
mot de passe produit par l'appareil. Un algorithme de recherche exhaustif utilisant des
valeurs de compteur est utilisé, avec une limite de temps de compilation sur le nombre maximum de
calculs. La recherche commence à la valeur de compteur actuellement stockée sur le serveur, à moins que
l'un est fourni en utilisant -compteur. En cas d'échec, cette opération peut prendre beaucoup de temps
avant qu'il ne se termine ; l'utilisateur doit contacter un administrateur pour obtenir de l'aide.
En mode TOTP, essayez de déterminer le degré de synchronisation de l'horloge système avec
l'horloge du jeton et afficher le résultat. Ces informations peuvent être utilisées pour mettre à jour le
l'enregistrement du jeton de l'utilisateur pour compenser les horloges mal synchronisées ou pour ajuster
paramètres de validation. La clé du jeton et le nom de l'algorithme de résumé sont
obtenu pour l'enregistrement de jeton appartenant à Nom d'utilisateur, s'il est donné ; sinon la clé
est demandé et l'algorithme de résumé à utiliser est obtenu à partir de la commande
ligne ou la valeur par défaut. Seul le premier mot de passe dans liste de mots de passe est utilisé. le
-top-timestep, -chiffreset -haut-base les options sont effectives lors de cette opération.
-tester
Effectuez quelques auto-tests, puis quittez. Un état de sortie différent de zéro signifie qu'une erreur s'est produite.
-top-show num
Affichez une séquence de mots de passe TOTP en utilisant les paramètres actuellement en vigueur :
taille de l'intervalle (-top-timestep), nombre de chiffres (-chiffres) et la base (-base). La
les paramètres stockés du compte ne sont pas modifiés. Ceci est principalement destiné au débogage
fins pratiques.
Si un Nom d'utilisateur est fourni (il doit être associé à un dispositif TOTP), la clé et
les autres paramètres stockés du compte sont utilisés à moins qu'ils ne soient remplacés par la ligne de commande
drapeaux. La séquence de mots de passe pour num intervalles avant et après l'heure actuelle,
ainsi que le mot de passe pour l'heure actuelle sont imprimés.
Sinon Nom d'utilisateur est donné, le programme demande la clé (qui est renvoyée) et utilise
indicateurs de ligne de commande ou valeurs par défaut pour les paramètres. Il émet alors le mot de passe TOTP
pour l'heure actuelle à chaque fois que vous appuyez sur Retour/Entrée. Taper EOF provoque immédiatement
Résiliation.
-valider valeur otp
If valeur otp est le prochain mot de passe à usage unique attendu, renvoie un état de sortie de zéro à
indiquer le succès ; toute autre valeur indique un échec. Si Nom d'utilisateur est donné, les paramètres
pour validation, y compris la clé, sont obtenus à partir de ce compte à moins d'être remplacés sur
la ligne de commande. L'état du serveur n'est pas modifié ; par exemple, un compteur HOTP n'est pas
Avancée. Sinon Nom d'utilisateur est donné, le -mode flag doit être utilisé et les paramètres
requis pour ce mode doit être fourni, y compris une clé. Pour le mode HOTP, une valeur de compteur
doit être fourni. Pour le mode TOTP, les paramètres de ligne de commande sont effectifs pendant cette
validation. dacstoken testera si valeur otp valide par rapport aux paramètres de
effet.
modificateur les drapeaux sont compris :
-tout
Avec -ensemble et non Nom d'utilisateur, appliquez les modifications à TOUTE comptes. Cela peut être utilisé pour
activer ou désactiver tous les comptes, par exemple. Les -clés ainsi que -clés de sortie les drapeaux sont
honoré. Si une erreur se produit, le traitement s'arrête immédiatement, auquel cas seuls certains
les comptes peuvent avoir été modifiés.
-base num
Utilisez num comme base (radix) lors de l'affichage d'un OTP. La valeur de num est limité à
10 (le défaut), 16ou 32.
-compteur num
Il s'agit de la valeur du compteur HOTP de 8 octets à définir, exprimée sous forme de valeur hexadécimale si elle est précédée de
par "0x" (ou "0X"), décimal sinon. Les zéros non significatifs peuvent être élidés. Cela implique HOTP
mode. Pour les appareils à jeton, il ne devrait pas être possible de réinitialiser un compteur (compteur modulo
débordement) car cela entraînera la répétition de la séquence de mot de passe, en supposant
que la clé n'est pas modifiée ; les implémentations logicielles peuvent ne pas avoir cette restriction,
Cependant, méfiez-vous des implications pour la sécurité.
-chiffres num
Utilisez num chiffres lors de l'affichage d'un OTP. La valeur de num est limité à 6, 7, 8 (les
par défaut), ou 9 avec socle 10. Il est limité à 6 avec socle 32 et est ignoré avec
base 16 (sortie hexadécimale).
-désactiver
Désactiver le compte pour Nom d'utilisateurL’ local_token_authenticate module, et -auth ainsi que
-valider flags, ne permettra pas à l'utilisateur de s'authentifier tant que le compte n'a pas été
activé, bien que d'autres opérations puissent encore être effectuées sur le compte. Si -permettre
est utilisé par la suite, le compte deviendra utilisable pour l'authentification et est
restauré à son état au moment où il a été désactivé. Ce n'est pas une erreur de désactiver un
compte déjà désactivé.
-permettre
Activer le compte pour Nom d'utilisateurL’ local_token_authenticate module permettra au
utilisateur à s'authentifier. Ce n'est pas une erreur d'activer un compte déjà activé.
-hotp-fenêtre num
Si le mot de passe HOTP attendu ne correspond pas au mot de passe donné, essayez de faire correspondre jusqu'à
num mots de passe après le mot de passe attendu dans la séquence. Une valeur de zéro pour num
désactive cette recherche.
-clés type d'élément
Pour déchiffrer les clés secrètes, utilisez le magasin identifié par type d'élément, vraisemblablement
configuré dans dacs.conf.
-clé valeur clé
Utilisez valeur clé comme clé secrète, exprimée sous la forme d'une chaîne de chiffres hexadécimaux.
Sécurité
La fourniture d'une clé sur la ligne de commande n'est pas sécurisée car elle peut être visible pour
d'autres processus.
-fichier clé nom de fichier
Lire la clé secrète, exprimée sous forme de chaîne de chiffres hexadécimaux, à partir de nom de fichier. Si nom de fichier is
"-", la clé est lue à partir de stdin.
-invite-clé
Invite pour la clé secrète, exprimée sous la forme d'une chaîne de chiffres hexadécimaux. L'entrée n'est pas renvoyée.
-mode mode otp
Cela spécifie (sans tenir compte de la casse) le type de jeton (le mode de périphérique OTP) à utiliser
avec -ensemble, -créer, et les opérations de validation et de synchronisation. Les mode otp peut être
soit counter ou hotp pour le mode compteur, soit time ou totp pour le mode basé sur le temps. Cette
flag est requis lors de la création d'un nouveau compte.
-clés de sortie type d'élément
Pour chiffrer les clés secrètes, utilisez le magasin identifié par type d'élément, vraisemblablement défini
dans dacs.conf.
-Broche Pinval
Utilisez Pinval comme code PIN secret du compte.
Sécurité
La fourniture d'un code PIN sur la ligne de commande n'est pas sécurisée car elle peut être visible pour
d'autres processus.
-pin-contraintes str
À la place d'utiliser PASSWORD_CONSTRAINTS[14], utiliser str (ayant la même syntaxe et
sémantique) pour décrire les exigences d'un code PIN.
Notes
Les exigences pour un code PIN s'appliquent aux codes PIN obtenus via un indicateur de ligne de commande et à ceux
obtenu par importation (à l'aide de l'attribut "p"). Les exigences ne sont pas
« rétroactif », cependant, la modification des exigences n'affecte pas les codes PIN des
comptes existants ou des comptes d'importation qui ont été précédemment exportés (ayant un
attribut "ph").
-fichier-pin nom de fichier
Lire le code PIN secret de nom de fichier. Si nom de fichier est "-", le code PIN est lu à partir de stdin.
-pin-invite
Demander le code PIN secret. L'entrée n'est pas renvoyée.
-rnd
Réservé pour une utilisation future.
-la graine str
Réservé pour une utilisation future.
-en série str
Le numéro de série, str, est un identifiant (soi-disant) unique attribué au jeton.
Cette option est utilisée avec le -ensemble, -créeret -liste drapeaux. Un numéro de série
identifie un périphérique OTP spécifique et n'a pas besoin d'être gardé secret. La propriété d'unicité
est appliqué au sein d'une unité de stockage de type article ; c'est-à-dire les numéros de série de tous les HOTP
les appareils doivent être uniques, les numéros de série de tous les appareils TOTP doivent être uniques, et si
comptes pour les deux types d'appareils sont combinés, tous les numéros de série d'appareils doivent être
unique. Toute chaîne imprimable est acceptée. Si un client logiciel génère
mots de passe, vous pouvez utiliser le numéro de série de l'appareil ou choisir n'importe quel descriptif approprié
chaîne qui n'est pas déjà affectée à un périphérique.
Notes
Une juridiction qui autorise (ou peut éventuellement autoriser) à la fois les jetons matériels et
les applications clientes génératrices de logiciels devraient envisager d'adopter un
schéma de nommage pour ses jetons. Par exemple, l'administrateur peut ajouter "-hw" à
le numéro de série du fournisseur pour former le dacstoken numéro de série. Pour le logiciel
jetons, l'administrateur peut créer un dacstoken numéro de série en ajoutant
"-sw" au numéro de série du fournisseur pour l'appareil.
-top-delta num
Ajustez l'heure de base en num intervalles (chacun de la taille du pas en secondes) lorsque
calcul d'un TOTP. Les num peut être négatif, nul ou positif. Ceci est utilisé pour corriger
pour les horloges mal synchronisées.
-top-drift nfenêtres
Pour TOTP, utilisez une taille de fenêtre de nfenêtres (en termes de taille d'intervalle) pour
validation. Si nfenêtres is 0, la valeur TOTP calculée doit correspondre à celle donnée
exactement. Si nfenêtres is 1, Par exemple, dacstoken essaiera de faire correspondre le TOTP donné
valeur dans les intervalles précédent, actuel et suivant. Cela permet aux horloges du
système en cours d'exécution dacstoken (ou local_token_authenticate) et un dispositif de production de jetons pour
être moins bien synchronisé.
Sécurité
Bien qu'il compense les horloges mal synchronisées, l'augmentation de la valeur de
nfenêtres affaiblit le système en prolongeant la durée de vie d'un mot de passe à usage unique.
-top-hachage alg
Utilisez alg comme algorithme de résumé avec TOTP. La valeur de alg est limité à (cas
insensiblement) SHA1 (par défaut), SHA256 ou SHA512.
-top-timestep secondes
Utilisez secondes comme taille d'intervalle lors du calcul d'un TOTP. Il doit être supérieur à zéro. Les
la valeur par défaut est 30 secondes.
Sécurité
Bien qu'il compense les horloges mal synchronisées, l'augmentation de la valeur de
secondes affaiblit le système en prolongeant la durée de vie d'un mot de passe à usage unique.
-vfs vfs_uri
Utilisez vfs_uri pour outrepasser le VFS[33] directive de configuration en vigueur. Cela peut être
utilisé pour configurer ou reconfigurer auth_token, auth_hotp_token ou auth_totp_token pour
spécifier la méthode de stockage pour les comptes concernés.
Hormis les messages d'erreur, qui sont imprimés avec l'erreur standard, toutes les sorties vont au
sortie standard.
D'ordinaire, un option dac sera spécifié pour sélectionner la juridiction au nom de laquelle
les comptes sont gérés.
EXEMPLES
Ces exemples supposent que le nom de la juridiction à utiliser est EXAMPLE et sa fédération
le domaine est example.com.
Pour utiliser cette méthode d'authentification, un DACS l'administrateur peut effectuer les étapes suivantes
pour chaque périphérique OTP affecté à un utilisateur :
1. Obtenez un jeton pris en charge, examinez comment il est utilisé pour l'authentification et sélectionnez des valeurs
pour les différents paramètres. Obtenez la clé secrète de l'appareil auprès du fournisseur ; pour
un appareil programmable, sélectionnez une touche aléatoire appropriée et programmez-la dans l'appareil.
Les valeurs de compteur actuelles peuvent également être obtenues auprès du fournisseur, bien qu'il soit
susceptible d'être initialisé à zéro ; pour un appareil programmable, réglez la valeur du compteur sur
zéro. Décidez si un code PIN sera requis (voir TOKEN_REQUIRES_PIN[9]). Si un logiciel
client est utilisé, installez le logiciel sur l'appareil de l'utilisateur (ou demandez à l'utilisateur de
donc) et configurer le logiciel.
2. Décidez où les informations de compte seront stockées et, si nécessaire, ajoutez un
VFS[33] directive à dacs.conf. La valeur par défaut (trouvée dans site.conf) maintient le compte
informations dans un fichier nommé auth_tokens dans le domaine privé par défaut de chaque juridiction
région:
VFS "[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_tokens"
3. Générez des clés pour crypter les informations du compte (voir Tokens ainsi que secret clés[34]) et
décider où ils seront stockés ; par exemple (votre identifiant, identifiant de groupe, chemin,
le nom de la juridiction et le domaine de la fédération peuvent varier) :
% cd /usr/local/dacs/federations_root/example.com/EXEMPLE
% dacskey -uj EXEMPLE -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
Si nécessaire, ajoutez un VFS[33] directive à dacs.conf ; la valeur par défaut, qui est
utilisé ci-dessus, conserve les informations de compte dans un fichier nommé auth_token_keys dans
l'espace privé par défaut de chaque juridiction :
VFS "[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys"
4. Si vous avez besoin que les utilisateurs se connectent via dacs_authentifier(8)[2], vous devez configurer un
Clause Auth appropriée dans dacs.conf, par exemple :
URL "jeton"
STYLE "passe"
CONTRLE « suffisant »
5. Un administrateur peut procéder de plusieurs manières, selon la quantité de
l'effort peut être fait par les utilisateurs (par exemple, s'ils sont dignes de confiance, leur
capacité), le nombre d'utilisateurs (quelques-uns ou milliers) et le niveau de sécurité
nécessaire.
1. préparer un fichier contenant un XML record[35] pour chaque compte à créer ; si
Des codes PIN doivent être utilisés, attribuez un code PIN aléatoire à chaque compte ;
2. utilisez le -importer[36] flag pour créer les comptes ;
3. donnez le périphérique à jeton, le nom d'utilisateur et (si nécessaire) le code PIN initial à l'utilisateur
(peut-être en vérifiant l'identité), en fournissant toute démonstration et
des instructions;
4. demandez à l'utilisateur de définir ou de réinitialiser le code PIN du compte et demandez à l'utilisateur de se connecter
en utilisant le jeton pour confirmer le bon fonctionnement.
Pour créer un compte désactivé pour l'utilisateur bobo pour un appareil HOTP :
% dacstoken -uj EXEMPLE -mode hotp -serial 37000752 -key-file bobo.key -create bobo
La clé secrète du compte (qui ne doit pas déjà exister) est lue à partir du fichier
bobo.key. Les nouveaux comptes sont désactivés par défaut ; utilisation -permettre pour créer un compte activé.
Une fois qu'un compte a été créé, il peut être synchronisé avec le token. Pour synchroniser
le jeton HOTP pour l'utilisateur bobo :
% dacstoken -uj EXEMPLE -sync 433268,894121,615120 bobo
Dans cet exemple, le jeton particulier a produit les trois mots de passe consécutifs 433268,
894121 et 615120. Notez que la chaîne de séquence de mot de passe qui suit le -sync le drapeau est
un seul argument qui ne peut pas avoir d'espaces incorporés. Si la clé de ce jeton est
19c0a3519a89b4a8034c5b9306db, le prochain mot de passe généré par ce jeton devrait être 544323
(avec contre-valeur 13). Cela peut être vérifié en utilisant -hotp-show:
% dacstoken -hotp-show 5 -compteur 10 -clé 19c0a3519a89b4a8034c5b9306db
000000000000000a : 433268
000000000000000b : 894121
000000000000000c : 615120
000000000000000d : 544323
000000000000000e: 002442
Pour activer le compte de l'utilisateur bobo :
% dacstoken -uj EXEMPLE -enable -set bobo
Pour définir le code PIN et activer le compte pour l'utilisateur bobo :
% dacstoken -uj EXEMPLE -enable -pin "CzAy" -set bobo
Pour répertorier tous les comptes en détail :
% dacstoken -uj EXEMPLE -long
La -liste flag est redondant car il s'agit de l'opération par défaut. Les -mode, -compteur, etc.
les modificateurs n'ont aucun effet lors de la liste.
Pour lister uniquement le compte pour bobo :
% dacstoken -uj EXEMPLE -list bobo
Le statut de sortie sera différent de zéro si cet utilisateur n'a pas de compte.
Pour afficher le compte de l'appareil avec le numéro de série 37000752 :
% dacstoken -uj EXEMPLE -série 37000752
Le numéro de série, qui doit identifier de manière unique un jeton, est souvent imprimé sur le jeton
ou peut être affiché par le jeton.
Pour définir la valeur du compteur pour le compte existant de bobo :
% dacstoken -uj EXEMPLE -compteur 9 -set bobo
Cette opération peut être utilisée à des fins de test ou avec un jeton logiciel. Les -sync l'opération est
plus approprié pour un jeton matériel.
Pour changer le code PIN du nom d'utilisateur bobo :
% dacstoken -uj EXEMPLE -pin-prompt -set bobo
Le programme vous demandera le nouveau code PIN.
Pour utiliser un autre fichier de compte, /secure/auth_tokens :
% dacstoken -uj EXEMPLE -vfs "dacs-kwv-fs:/secure/auth_tokens" -list
Pour utiliser de nouvelles clés (en faisant les mêmes hypothèses que précédemment), ajoutez une directive VFS appropriée à
dacs.conf; la valeur par défaut définit le type d'élément auth_token_keys_prev comme suit :
VFS "[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys.prev"
% cd /usr/local/dacs/federations_root/example.com/EXEMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj EXEMPLE -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj EXEMPLE -inkeys auth_token_keys.prev -set
DIAGNOSTIC
Le programme quitte 0, ou 1 si une erreur s'est produite.
Utiliser dacstoken en ligne en utilisant les services onworks.net
