Ini adalah perintah dacsauth yang dapat dijalankan di penyedia hosting gratis OnWorks menggunakan salah satu dari beberapa workstation online gratis kami seperti Ubuntu Online, Fedora Online, emulator online Windows atau emulator online MAC OS
PROGRAM:
NAMA
dacsauth - pemeriksaan otentikasi
RINGKASAN
dacsauth [-m spesifikasi-modul-auth] [...] [-r spesifikasi-modul-peran] [...] [-DDirektif=nilai]
[-aux]
[-fj nama panggilan] [-fn nama panggilan] [-h | -bantu] [-Indo] [-II log_level]
[-p kata sandi]
[-hal fillet] [-mengingatkan] [-q] [{-u | -user} nama pengguna] [-v]
dacsauth-modul
DESKRIPSI
Program ini merupakan bagian dari DACS pada.
Grafik dacsauth tes utilitas apakah materi autentikasi yang diberikan memenuhi autentikasi
persyaratan dan menunjukkan hasil melalui status keluar proses. Ini mirip dengan
dacs_authenticate(8)[1] dan suci(1)[2].
dacsauth menyediakan cara bagi skrip dan program lain untuk memanfaatkan DACS pembuktian keaslian
infrastruktur. Mereka mungkin menggunakan otentikasi yang berhasil sebagai bentuk kasar dari
otorisasi; hanya pengguna yang memberikan kata sandi yang benar yang diizinkan untuk menjalankan
program, misalnya. Atau mereka mungkin mengembalikan beberapa jenis kredensial setelah berhasil
otentikasi, atau mungkin menggunakan dacs_auth_agent(8)[3] untuk kembali DACS kredensial.
dacsauth juga dapat digunakan untuk mengambil informasi peran yang terkait dengan pengguna tertentu.
dacsauth tidak membaca apapun DACS file konfigurasi. Semua yang diperlukan untuk melakukan tes
harus ditentukan sebagai argumen.
jenis
If dacsauth menggunakan modul bawaan untuk melakukan otentikasi, atau mencari peran, tidak
Server komponen is wajib. Ini berarti Anda dapat menggunakan dacsauth tanpa harus
mengakses atau bahkan mengkonfigurasi server web, termasuk Apache.
PILIHAN
Bendera baris perintah berikut dikenali. Setidaknya satu -m bendera (untuk melakukan
pengujian otentikasi), atau setidaknya satu -r bendera harus ditentukan (untuk membentuk peran
string deskriptor untuk identitas dan mencetaknya ke stdout). Gabungan dari kedua bendera tersebut adalah
diperbolehkan, dalam hal ini string deskriptor peran dikeluarkan hanya jika tes otentikasi
berhasil.
-DDirektif=nilai
Ini setara dengan pengaturan Direktif, seorang jenderal DACS arahan konfigurasi, untuk
nilai. Lihat dacs.conf(5)[4].
-aux
String berikutnya disediakan oleh -p, -hal, atau -mengingatkan bendera akan menjadi nilai
BANTU argumen otentikasi. Ini menyediakan cara yang aman untuk lulus sensitif
informasi tambahan, seperti PIN, ke program. Bendera untuk mendapatkan kata sandi,
jika ada, harus mendahului bendera ini pada baris perintah.
-fj nama panggilan
penggunaan nama panggilan, yang harus valid secara sintaksis, sebagai nama yurisdiksi. Jika diperlukan
tetapi tidak diberikan, nilai yang diturunkan dari nama domain host akan digunakan.
-fn nama panggilan
penggunaan nama panggilan, yang harus valid secara sintaksis, sebagai nama federasi. Jika diperlukan
tetapi tidak diberikan, nilai yang diturunkan dari nama domain host akan digunakan.
-h
-bantu
Tampilkan pesan bantuan dan keluar.
-Indo
Jika berhasil, cetak yang diautentikasi DACS identitas ke output standar.
-II log_level
Setel tingkat keluaran debug ke log_level (Lihat dacs(1)[5]). Tingkat defaultnya adalah
memperingatkan.
-m spesifikasi-modul-auth
Setiap jenis tes otentikasi yang diperlukan dijelaskan oleh spesifikasi-modul-auth
yang segera mengikuti -m bendera. Setiap spesifikasi-modul-auth pada dasarnya adalah sebuah
representasi alternatif dari Auth ayat[6] dan arahannya, yang digunakan oleh
dacs_authenticate(8)[1]. Sama seperti urutan kemunculan klausa Auth dalam a DACS
file konfigurasi, urutan di mana -m bendera muncul mungkin signifikan,
tergantung pada kontrol kata kunci. Selama pemrosesan, berturut-turut -m komponen adalah
nama yang ditetapkan secara otomatis, auth_module_1, auth_module_2, dan seterusnya, terutama untuk
tujuan pelaporan kesalahan.
An spesifikasi-modul-auth memiliki sintaks berikut:
Grafik modul dimulai dengan nama modul bawaan, atau singkatan yang valid
daripadanya, atau URL (mutlak) dari modul otentikasi eksternal (setara dengan
itu URL[7] arahan). Selanjutnya harus muncul kata kunci gaya otentikasi yang dikenali
penentu (setara dengan STYLE[8] arahan). Selanjutnya, kontrol kata kunci berikut,
yang identik dengan PENGENDALIAN[9] direktif dalam klausa Auth. Setelah kontrol
kata kunci, bendera yang dijelaskan di bawah ini dapat mengikuti, dalam urutan apa pun.
An spesifikasi-modul-auth berakhir ketika bendera pertama yang tidak valid (atau akhir dari bendera) adalah
ditemui.
Grafik -O bendera setara dengan PILIHAN[10] arahan.
Grafik -Dari flag diikuti oleh argumen yang merupakan nama file yang akan dibaca
opsi, satu per baris, dalam format nama=nilai. Garis kosong dan garis yang dimulai dengan
a '#' diabaikan; perhatikan bahwa baris ini tidak dimulai dengan "-O" dan tanda kutip hanyalah
disalin dan tidak ditafsirkan. NS -Dari bendera dapat digunakan untuk menghindari memasukkan kata sandi
baris perintah dan membuatnya lebih mudah untuk menulis ekspresi yang seharusnya
untuk diloloskan dengan hati-hati untuk mencegah interpretasi oleh shell, misalnya.
Grafik -expr bendera setara dengan exp[11] arahan. NS -vfs bendera digunakan untuk
mengkonfigurasi VFS[12] arahan yang diperlukan oleh modul ini.
-modul
Menampilkan daftar modul autentikasi bawaan dan modul peran, satu per baris, dan
kemudian keluar. Nama modul kanonik dicetak, diikuti oleh nol atau lebih yang setara
singkatan. Untuk modul otentikasi, gaya otentikasi ditampilkan. Untuk daftar
modul yang tersedia, jalankan perintah:
% dacsauth -modul
Set modul otentikasi dan peran built-in yang tersedia (diaktifkan) ditentukan
ketika DACS dibangun.
-p kata sandi
Tentukan kata sandi yang akan digunakan (setara dengan PASSWORD argumen untuk
dacs_authenticate).
Security
Kata sandi yang diberikan pada baris perintah dapat dilihat oleh pengguna lain di perangkat yang sama
sistem.
-hal fillet
Baca kata sandi untuk digunakan dari fillet (setara dengan PASSWORD argumen untuk
dacs_authenticate). Jika fillet adalah "-", maka kata sandi dibaca dari input standar
tanpa disuruh.
-mengingatkan
Minta kata sandi dan baca dari stdin (setara dengan PASSWORD argumen untuk
dacs_authenticate). Kata sandi tidak digemakan.
-q
Lebih tenang dengan mengurangi tingkat output debug.
-r spesifikasi modul peran
Peran untuk nama pengguna dapat ditentukan dengan memberikan bendera ini, yang segera
diikuti dengan spesifikasi-modul-peran. itu -r bendera dapat diulang, dan peran yang dihasilkan
digabungkan. Setiap spesifikasi-modul-peran pada dasarnya adalah representasi alternatif dari
Klausa peran yang digunakan oleh dacs_authenticate(8)[13]. Berturut-turut -r komponen adalah
nama yang ditetapkan, role_module_1, role_module_2, dan seterusnya, terutama untuk pelaporan kesalahan
tujuan.
A spesifikasi-modul-peran memiliki sintaks berikut:
Grafik modul komponen setara dengan klausa Roles URL[14] direktif dan adalah
baik nama modul peran bawaan yang tersedia, singkatan yang valid darinya,
atau URL (mutlak) dari modul peran eksternal.
Bendera boleh mengikuti modul komponen, dalam urutan apa pun. A spesifikasi-modul-peran berakhir saat
flag tidak valid pertama (atau akhir dari flag) ditemukan.
Grafik -O bendera setara dengan PILIHAN[10] arahan.
Grafik -Dari flag diikuti oleh argumen yang merupakan nama file yang akan dibaca
opsi, satu per baris, dalam format nama=nilai. Garis kosong dan garis yang dimulai dengan
a '#' diabaikan; perhatikan bahwa baris ini tidak dimulai dengan "-O" dan tanda kutip hanyalah
disalin dan tidak ditafsirkan. NS -Dari bendera dapat digunakan untuk menghindari memasukkan kata sandi
baris perintah dan membuatnya lebih mudah untuk menulis ekspresi yang seharusnya
untuk diloloskan dengan hati-hati untuk mencegah interpretasi oleh shell, misalnya.
Grafik -expr bendera setara dengan exp[11] arahan. NS -vfs bendera digunakan untuk
mengkonfigurasi VFS[12] arahan yang dibutuhkan oleh modul.
-u nama pengguna
-user nama pengguna
Nama pengguna yang akan diautentikasi (setara dengan USERNAME argumen untuk
dacs_authenticate). Nama pengguna ini secara implisit dikaitkan dengan yang efektif
federasi dan yurisdiksi (lihat -fn[15] dan -fj[16] bendera).
-v
Grafik -v flag menabrak tingkat output debug untuk men-debug atau (jika diulang) melacak.
CONTOH
Security
If dacsauth menggunakan modul built-in untuk melakukan otentikasi, itu harus menjalankan setuid atau
setgid untuk mendapatkan hak yang cukup untuk mengakses file kata sandi yang diperlukan (sama
benar untuk modul peran bawaan). Jika menggunakan modul eksternal, modul itu akan
perlu mengeksekusi dengan hak yang cukup untuk mengakses DACS kunci kriptografi,
khususnya federation_keys dan mungkin DACS atau file kata sandi sistem; eksternal
modul kemudian perlu dijalankan dengan hak yang cukup untuk mengakses file apa pun itu
membutuhkan.
Pastikan untuk menggunakan federation_keys yang benar untuk federasi Anda. Referensi
modul otentikasi dalam dua atau lebih federasi mungkin tidak akan berfungsi.
dacsauth oleh karena itu tidak boleh dijalankan sebagai UID pengguna yang memanggilnya
(kecuali itu adalah root) karena tidak akan dapat mengakses informasi
itu membutuhkan. Ini juga akan mencegah pengguna dari "curang" (misalnya, dengan melampirkan ke
menjalankan modul dengan debugger).
Contoh ini mengautentikasi pengguna "bobo" dengan kata sandi "test" terhadap DACS file kata sandi
/usr/local/dacs/conf/passwd:
% dacsauth -m passwd passwd diperlukan
-vfs "[passwds]dacs-kwv-fs:/usr/local/dacs/conf/passwd" -q -u bobo -p test
Jika status keluar perintah adalah nol, tes otentikasi berhasil, jika tidak maka
gagal.
Contoh berikut mencoba mengotentikasi "bobo" terhadap file kata sandi Unix-nya. NS
program meminta kata sandi.
% dacsauth -m unix passwd diperlukan -u bobo -prompt
Dalam contoh berikutnya, dacsauth mencoba mengautentikasi "bobo" melalui NTLM pada
winders.example.com:
% dacsauth -m ntlm passwd suff -OSAMBA_SERVER="winders.example.com" -prompt -u bobo
Contoh ini mirip dengan yang sebelumnya, kecuali modul otentikasi eksternal
digunakan dan kata sandi dibaca dari file. Karena modul eksternal, tambahan
konfigurasi harus disediakan; khususnya, lokasi federation_keys dan
nama federasi dan yurisdiksi harus ditentukan.
% dacsauth -m https://example.example.com/cgi-bin/dacs/local_ntlm_authenticate \
passwd cukup -OSAMBA_SERVER="winders.example.com" \
-fn CONTOH -fj FEDROOT -u bobo -pf mypass \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/example/federation_keys"
Untuk mengautentikasi terhadap Google[17] akun [email dilindungi], seseorang mungkin menggunakan:
% dacsauth -m http passwd suff \
-OAUTH_URL="https://www.google.com/accounts/ClientLogin" \
-OUSERNAME_PARAMETER=Email -OPASSWORD_PARAMETER=Passwd \
-Oservice=xapi -Osource=DSS-DACS-1.4 -Prompt -u [email dilindungi]
Dalam contoh berikut, ekspresi dievaluasi untuk menentukan apakah otentikasi
harus berhasil. Pengguna ("bobo") dimintai kata sandi. Hanya jika string "foo" adalah
diberikan akan otentikasi berhasil. Contoh yang lebih realistis mungkin memanggil program lain untuk
membantu membuat keputusan, misalnya.
% dacsauth -m expr expr cukup \
-expr '${Args::PASSWORD} eq "foo" ? ${Args::USERNAME} : ""' -user bobo -prompt
Otentikasi terhadap Apache htdigest file kata sandi dilakukan sebagai berikut:
contoh, di mana kata sandi dibaca dari stdin:
% echo "tes" | dacsauth -m apache mencerna cukup \
-OAUTH_MODULE=mod_auth_digest \
-OAUTH_FILE=/usr/local/Apache2/conf/passwords.digest \
-OAUTH_REALM="DACS Intisari Wilayah Otentikasi" \
-u bobo -pf -
Otentikasi melalui modul PAM bekerja secara berbeda dari modul lain - dan lebih banyak lagi
rumit untuk digunakan - karena dacsauth mungkin perlu dijalankan beberapa kali, tergantung pada apa
informasi yang dibutuhkan PAM. Alih-alih mengembalikan keputusan ya/tidak, dacsauth boleh mencetak
meminta informasi lebih lanjut ke stdout. Harap tinjau detail operasional yang disajikan di
dacs_authenticate(8)[18] dan pamd(8)[19] sebelum mencoba menggunakan modul ini.
Contoh berikut menunjukkan penggunaan modul dari baris perintah. Sekali dasar
ide dipahami, harus jelas bagaimana menulis naskah untuk melakukan
iterasi yang diperlukan. Detail dalam contoh, seperti jalur, mungkin perlu disesuaikan untuk
lingkungan Anda. Perhatikan bahwa dalam contoh ini nama pengguna tidak ditentukan pertama kali
dacsauth dijalankan, meskipun bisa jika diketahui.
% dacsauth -m pam diminta cukup \
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OPAMD_HOST=localhost -OPAMD_PORT=dacs-pamd -fj CONTOH -fn TEST
AUTH_PROMPT_VAR1="Masuk:"
AUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"
% dacsauth -m pam diminta cukup \
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OAUTH_PROMPT_VAR1="bobo" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
AUTH_PROMPT_VAR2="Kata Sandi:"
AUTH_TRANSID="10.0.0.124:52188:88417:5ffb0015f21ea546"
% dacsauth -m pam diminta cukup \
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OAUTH_PROMPT_VAR2="kata sandi" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
Pertama kali dacsauth dijalankan dalam contoh itu mengembalikan Prompt untuk nama pengguna
("Login:") yang terkait dengan variabel transaksi AUTH_PROMPT_VAR1 dan
pengenal transaksi (AUTH_TRANSID). Yang terakhir harus diteruskan ke yang berikutnya
eksekusi dari dacsauth. Putaran kedua dacsauth melewati nama pengguna ("bobo") dan
mengembalikan prompt lain ("Kata Sandi:") yang terkait dengan variabel transaksi
AUTH_PROMPT_VAR2. Proses ketiga melewati kata sandi ("kata sandi") tetapi tidak ada prompt
dikembalikan, menunjukkan bahwa sesi selesai dan status keluar program mencerminkan
hasil otentikasi.
jenis
Apakah dacsauth membutuhkan kata sandi untuk mengambil peran tergantung pada peran tertentu
modul yang digunakan. Misalnya, kata sandi tidak diperlukan oleh peran_unix_lokal[20] atau
peran_lokal[21] untuk mendapatkan peran, tapi peran_ldap_lokal[22] mungkin akan membutuhkan
password untuk mengikat ke direktori dan mendapatkan peran.
Contoh ini mencetak string peran untuk pengguna "bobo" dengan memanggil built-in
peran_unix_lokal[20] modul:
% dacsauth -r unix -u bobo
bobo,roda,www,pengguna
Contoh berikutnya mirip dengan yang sebelumnya, kecuali modul peran eksternal digunakan:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_unix_roles \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn CONTOH -u bobo
bobo,roda,www,pengguna
Modul peran eksternal mungkin dijalankan pada host yang berbeda dari yang sedang berjalan
dacsauth. Asalkan dacsauth telah diinstal dan file federation_keys yang cocok adalah
tersedia di host lokal, host lokal tidak perlu DACS yurisdiksi atau memiliki
lain DACS konfigurasi.
Contoh berikut mencetak peran tali[23] untuk pengguna "bobo", yang dikenal dalam
direktori dengan Nama Umum "Bobo Baggins", menggunakan (eksternal) peran_ldap_lokal[22]
modul dan metode pengikatan "langsung":
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-Dari /usr/local/dacs/ldap_roles_options_direct -u "Bobo Baggins" \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn CONTOH -fj FEDROOT -prompt
DnsAdmins,Print_Operators,Domain_Admins,Administrator
Karena terlalu banyak bendera untuk ditempatkan dengan mudah dan benar di baris perintah,
opsi yang diperlukan untuk melakukan ini dibaca dari file yang ditentukan oleh -Dari bendera.
Ini juga menyediakan cara yang lebih aman untuk meneruskan kata sandi ke program; memastikan akses itu
ke file dibatasi dengan tepat. Berkas
/usr/local/dacs/ldap_roles_options_direct mungkin berisi konfigurasi seperti ini:
LDAP_BIND_METHOD=langsung
LDAP_ADMIN_URL*="ldap://winders.example.com/CN=" . encode(url,${Args::DACS_USERNAME}) . ",CN=Pengguna,DC=contoh,DC=com"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" ? strtr(ldap(rdn_attrvalue, \
ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
Contoh berikut ini seperti yang sebelumnya, kecuali bahwa ia menggunakan pengikatan "tidak langsung"
metode dan karena itu tidak perlu diberi Nama Umum pengguna:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-Dari /usr/local/dacs/ldap_roles_options_indirect -u bobo \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn CONTOH -fj FEDROOT -p bobospassword
DnsAdmins,Print_Operators,Domain_Admins,Administrator
File /usr/local/dacs/ldap_roles_options_indirect mungkin berisi konfigurasi seperti
ini:
LDAP_BIND_METHOD=tidak langsung
LDAP_ADMIN_URL=ldap://winders.example.com/CN=Administrator,CN=Users,DC=contoh,DC=com
# Cari di bawah Pengguna...
LDAP_SEARCH_ROOT_DN=CN=Pengguna,DC=contoh,DC=com
LDAP_ADMIN_PASSWORD=Kata SandiAdmin Rahasia
LDAP_SEARCH_FILTER*="(sAMAccountName=${Args::DACS_USERNAME})"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" ? strtr(ldap(rdn_attrvalue, \
ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
Misalkan seseorang ingin menggunakan dacsauth untuk mengautentikasi pengguna melalui LDAP dengan cara yang serupa dengan
konfigurasi dacs.conf ini:
URL "http://example.example.com/cgi-bin/dacs/local_ldap_authenticate"
GAYA "kata sandi,tambahkan_peran"
KONTROL "wajib"
LDAP_BIND_METHOD "langsung"
LDAP_USERNAME_URL* '"ldap://winders.example.com/cn=" . encode(url, ${Args::USERNAME}) . ",cn=Pengguna,dc=contoh,dc=lokal"'
LDAP_USERNAME_EXPR* '"${LDAP::sAMAccountName}"'
LDAP_ROLES_SELECTOR* '"${LDAP::attrname}" eq "memberOf" \
? strtr(ldap(rdn_attrvalue, ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""'
File seperti ini (misalnya, /usr/local/dacs/ldap_auth_options_direct) akan berisi
arahan berikut:
LDAP_BIND_METHOD=langsung
LDAP_USERNAME_URL*="ldap://winders.example.com/cn=" . encode(url, ${Args::USERNAME}) . ",cn=Pengguna,dc=contoh,dc=lokal"
LDAP_USERNAME_EXPR*="${LDAP::sAMAccountName}"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" \
? strtr(ldap(rdn_attrvalue, ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
Otentikasi kemudian dapat dilakukan menggunakan perintah seperti ini:
% dacsauth -fj FEDROOT -m http://example.example.com/cgi-bin/dacs/local_ldap_authenticate paswd cukup \
-Dari /usr/local/dacs/ldap_auth_options_direct \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn CONTOH -u bobo -prompt
DIAGNOSTIK
Program keluar 0 jika otentikasi berhasil atau dengan 1 jika otentikasi gagal atau
terjadi kesalahan.
Gunakan dacsauth online menggunakan layanan onworks.net
