heimdal-history - En ligne dans le Cloud

PROGRAMME:

Nom

heimdal-history - Historique des mots de passe via la vérification externe de la force de Heimdal

SYNOPSIS

heimdal-histoire [-hmq] [-b Temps cible] [-d base de données]
[-S longueur-stats-db] [-s programme de force] [principal]

DESCRIPTION

heimdal-histoire est une implémentation de l'historique des mots de passe via le mot de passe externe Heimdal
interface de vérification de la force. Il stocke un historique séparé pour chaque principal, haché à l'aide
Crypt::PBKDF2 avec du sel généré aléatoirement. (Le caractère aléatoire provient d'un faible pseudo-aléatoire
générateur de nombres, pas fortement aléatoire.)

L'historique des mots de passe est stocké dans un fichier BerkeleyDB DB_HASH. La clé est le principal. Les
value est un tableau JSON d'objets, chacun ayant deux clés. "timestamp" contient le
heure à laquelle l'entrée d'historique a été ajoutée (en secondes POSIX depuis l'époque UNIX), et "hachage"
contient le hachage d'un mot de passe précédemment utilisé dans le Crypt::PBKDF2 compatible LDAP
format. Les mots de passe sont hachés à l'aide de PBKDF2 (de PKCS#5) avec SHA-256 comme sous-jacent
fonction de hachage utilisant un certain nombre de tours configurés dans ce script. Voir Crypt::PBKDF2 pour
pour en savoir davantage.

heimdal-histoire vérifie également la force du mot de passe avant de vérifier l'historique. Il le fait par
invoquer un autre programme qui utilise également la vérification de la force du mot de passe externe Heimdal
interface. Par défaut, il s'exécute /usr/bin/heimdal-force. Seulement si ce programme approuve
le mot de passe le hache et vérifie l'historique.

Comme pour toute implémentation du protocole de vérification de la force du mot de passe externe Heimdal,
heimdal-histoire attend, sur l'entrée standard :

principal:
nouveau mot de passe:
fin

(sans espace de début). est le principal qui change son mot de passe (passé
à l'autre programme de vérification de la force du mot de passe mais autrement non utilisé ici), et
est le nouveau mot de passe. Il doit y avoir exactement un espace après les deux points. Toute suite
les espaces sont considérés comme faisant partie du principal ou du mot de passe.

Si invoqué en tant que root, heimdal-histoire exécutera le programme de vérification de la force externe comme
l'utilisateur "nobody" et le groupe "nogroup", et vérifiera et écrira dans la base de données d'historique comme
utilisateur "_history" et groupe "_history". Ces utilisateurs doivent exister sur le système s'il est exécuté
en tant que root.

Le résultat de chaque vérification de mot de passe sera enregistré dans syslog (priorité LOG_INFO, facilité
LOG_AUTH). Chaque ligne de journal sera un ensemble de paires clé/valeur au format "clé=valeur"L’
les clés sont:

action
L'action effectuée (actuellement toujours « vérifier »).

principal
Le principal pour lequel un mot de passe a été vérifié.

erreur
Un message d'erreur interne qui n'a pas arrêté la vérification de l'historique, mais qui peut indiquer
que quelque chose ne va pas avec la base de données d'historique (comme des entrées corrompues ou
hachages invalides). Si cette clé est présente, ni "résultat" ni "raison" ne seront
présent. Il y aura un message de journal suivant de la même invocation donnant le
résultat final de la vérification de l'historique (en supposant heimdal-histoire ne sort pas avec un fatal
Erreur).

résultat
Soit « accepté » ou « rejeté ».

raison
Si le mot de passe a été rejeté, la raison du rejet.

La valeur sera entourée de guillemets doubles si elle contient un guillemet double ou un espace.
Tous les guillemets doubles dans la valeur seront doublés, donc """ devient "".

OPTIONS

-b Temps cible, --référence=Temps cible
Ne faites pas de vérification de l'historique des mots de passe. Au lieu de cela, comparez l'algorithme de hachage avec
plusieurs nombres d'itérations possibles et trouver un nombre d'itérations qui aboutit à cible-
fiable secondes de temps de calcul nécessaires pour hacher un mot de passe (qui devrait être un vrai
numéro). Un résultat sera considéré comme acceptable s'il se situe à moins de 0.005 seconde du
Temps cible. Les résultats seront imprimés sur la sortie standard, puis heimdal-histoire
sortira avec succès.

-d base de données, --base de données=base de données
Utilisez base de données comme fichier de base de données d'historique au lieu du fichier par défaut
(/var/lib/heimdal-history/history.db). Principalement utilisé pour les tests, puisque Heimdal
ne passera pas cet argument.

-h, --Aidez-moi
Imprimez un court message d'utilisation et quittez.

-m, --Manuel, --homme
Affichez ce manuel et quittez.

-q, --silencieux
Supprimer la journalisation dans syslog et ne renvoyer les résultats que sur la sortie standard et standard
Erreur. Principalement utilisé pour les tests, car Heimdal ne passera pas cet argument.

-S longueur-stats-db, --Statistiques=longueur-stats-db
Utilisez longueur-stats-db comme fichier de base de données pour les statistiques de longueur de mot de passe au lieu du
défaut (/var/lib/heimdal-history/lengths.db). Principalement utilisé pour les tests, car
Heimdal ne passera pas cet argument.

-s programme de force, --force=programme de force
Courir programme de force comme programme de vérification de la force externe au lieu de la valeur par défaut
(/usr/bin/heimdal-force). Principalement utilisé pour les tests, car Heimdal ne passera pas
cet argument.

RETOUR STATUT

Après approbation du mot de passe, heimdal-histoire affichera « APPROUVÉ » et une nouvelle ligne pour
sortie standard et sortie avec l'état 0.

Si le mot de passe est rejeté par le programme de vérification de la force ou s'il (ou une version avec un
seul caractère supprimé) correspond à l'un des hachages stockés dans l'historique des mots de passe,
heimdal-histoire affichera la raison du rejet dans l'erreur standard et quittera avec le statut
0.

En cas d'erreur interne, heimdal-histoire imprimera l'erreur à l'erreur standard et quittera
avec un statut non nul.

Utilisez heimdal-history en ligne en utilisant les services onworks.net