Ini adalah perintah dacstoken yang dapat dijalankan di penyedia hosting gratis OnWorks menggunakan salah satu dari beberapa workstation online gratis kami seperti Ubuntu Online, Fedora Online, emulator online Windows atau emulator online MAC OS
PROGRAM:
NAMA
dacstoken - mengelola kata sandi satu kali berbasis hash
RINGKASAN
dactoken [pilihan[1]] [-semua] [-mendasarkan num] [-melawan num] [-digit num]
[-cacat | -memungkinkan] [-hotp-jendela num] [-inkey tipe barang]
[[-kunci kunci] | [-file-kunci nama file] | [-kunci-prompt]] [-mode mode otp]
[-kunci keluar tipe barang]
[[-Pin pinval] | [-pin-file nama file] | [-pin-cepat]] [-pin-batasan str]
[-rd] [-benih str] [-serial str] [-totp-delta num] [-totp-melayang jendela baru]
[-totp-hash ganggang]
[-totp-langkah waktu detik] [-vfs vfs_uri] [spesifikasi-op] [nama pengguna]
DESKRIPSI
Program ini merupakan bagian dari DACS pada.
Grafik dactoken pengelola utilitas DACS akun yang terkait dengan kata sandi satu kali (OTP)
perangkat pembangkit (token) atau klien berbasis perangkat lunak. Menggunakan opsi baris perintah, itu juga
menghitung nilai OTP; parameter akun token dapat diganti, tetapi akun tidak genap
diperlukan.
Otentikasi dua faktor yang kuat dapat diberikan ketika dacs_authenticate[2] dikonfigurasi
untuk menggunakan local_token_authenticate[3] modul otentikasi atau ketika dactoken digunakan sebagai
program mandiri untuk memvalidasi kata sandi. Baik mode kata sandi satu kali berbasis HMAC
(HOTP), berdasarkan penghitung peristiwa dan ditentukan oleh RFC 4226[4], dan berbasis waktu
mode kata sandi satu kali (TOTP), seperti yang ditentukan oleh Terbaru IETF Internet-Draf[5] usulan,
didukung. Tambahan operasional mode[6] disebut OCRA (OATH Tantangan-Tanggapan
Algoritma), yang dijelaskan dalam IETF Internet-Draft, belum sepenuhnya didukung.
Note
Versi dactoken menggabungkan banyak perubahan yang tidak kompatibel ke belakang
dengan rilis 1.4.24a dan sebelumnya. Beberapa flag baris perintah berfungsi secara berbeda, dan
format file akun telah berubah. Jika Anda telah menggunakan perintah ini sebelumnya
rilis, harap buat salinan cadangan file akun token Anda dan tinjau manual ini
halaman dengan hati-hati sebelum melanjutkan (perhatikan -mengubah bendera[7] khususnya).
penting
Tidak ada perangkat lunak yang disediakan vendor yang diperlukan oleh dactoken untuk memasok fungsinya. NS
perangkat yang saat ini didukung tidak memerlukan pendaftaran atau interaksi konfigurasi apa pun
dengan vendor dan dactoken tidak tidak berinteraksi dengan vendor' server or menggunakan Apa pun
hak milik perangkat lunak. Perangkat lunak yang disediakan vendor mungkin diperlukan untuk melakukan
inisialisasi atau konfigurasi untuk perangkat token lainnya, dan dactoken tidak
tidak memberikan dukungan seperti itu untuk mereka.
Setiap perangkat token umumnya sesuai dengan tepat satu akun yang dikelola oleh
dactoken, meskipun beberapa vendor menghasilkan token yang dapat mendukung banyak akun.
Untuk meringkas, utilitas ini:
· membuat dan mengelola DACS akun yang terkait dengan counter-based dan time-based
kata sandi satu kali
· menyediakan fungsionalitas validasi dan pengujian
· menyediakan kemampuan otentikasi baris perintah
Security
Hanya DACS administrator harus berhasil menjalankan program ini dari
garis komando. Karena DACS kunci dan file konfigurasi, termasuk file yang digunakan untuk
akun toko, harus dibatasi untuk administrator, ini biasanya akan menjadi
kasus, tetapi administrator yang cermat akan mengatur izin file untuk menolak akses ke semua
pengguna lain.
Note
Grafik dacs_token(8)[8] layanan web memberi pengguna layanan mandiri terbatas
fungsionalitas untuk mengatur atau mengatur ulang PIN akun mereka dan menyinkronkan token mereka. Juga
memiliki mode demonstrasi untuk menyederhanakan pengujian dan evaluasi.
PIN (Akun kata sandi)
A dactoken akun opsional dapat memiliki PIN (yaitu, kata sandi) yang terkait dengannya. Ke
mengautentikasi terhadap akun semacam itu, pengguna harus memberikan kata sandi satu kali yang dihasilkan
dengan tanda dan PIN-nya. NS TOKEN_REQUIRES_PIN[9] direktif konfigurasi menentukan
apakah PIN harus diberikan saat membuat atau mengimpor akun; itu tidak berlaku di
hubungannya dengan -delpin bendera, karena hanya administrator yang dapat melakukan
fungsi itu.
Sebuah hash PIN disimpan dalam catatan akun daripada PIN itu sendiri. Sama
metode yang digunakan oleh dacspasswd(1)[10] dan dacs_passwd(8)[11] diterapkan, dan tergantung pada
PASSWORD_DIGEST[12] dan PASSWORD_SALT_PREFIX[13] arahan yang berlaku. Jika
PASSWORD_DIGEST[12] dikonfigurasi, algoritma itu digunakan, jika tidak, waktu kompilasi
default (SHA1) digunakan. Jika pengguna lupa PIN, PIN lama tidak dapat dipulihkan sehingga
harus dihapus atau yang baru harus disetel.
Beberapa perangkat token memiliki kemampuan PIN yang terpasang di dalamnya. Pengguna harus memasukkan PIN ke
perangkat sebelum perangkat akan mengeluarkan kata sandi satu kali. "PIN perangkat" ini adalah
benar-benar berbeda dari PIN akun yang dikelola oleh dactoken, dan panduan ini adalah
hanya peduli dengan dactoken PIN. PIN perangkat harus selalu digunakan jika memungkinkan;
itu dactoken PIN sangat disarankan dan diperlukan untuk otentikasi dua faktor
(kecuali faktor otentikasi tambahan diterapkan dengan cara lain).
Karena hanya administrator yang diizinkan untuk menjalankan perintah ini, tidak ada batasan yang diberlakukan
pada panjang atau kualitas PIN yang disediakan administrator; pesan peringatan
akan dipancarkan, namun, jika kata sandi dianggap lemah seperti yang ditentukan oleh
PASSWORD_CONSTRAINTS[14] arahan.
Satu kali password
Kedua jenis perangkat kata sandi satu kali menghitung nilai kata sandi dengan menggunakan keamanan
algoritma hash yang dikunci (RFC 2104[15], Fips 198[16]). Dalam metode berbasis kontra, perangkat
dan server berbagi kunci rahasia dan nilai penghitung yang di-hash untuk menghasilkan angka
nilai yang ditampilkan dalam radix tertentu dengan jumlah digit tertentu. Berhasil
otentikasi memerlukan perangkat dan server untuk menghitung kata sandi yang cocok. Setiap kali
perangkat menghasilkan kata sandi, itu menambah penghitungnya. Ketika server menerima kecocokan
kata sandi, itu menambah penghitungnya. Karena mungkin saja kedua penghitung itu menjadi
tidak disinkronkan, algoritma pencocokan server biasanya akan mengizinkan kata sandi klien
jatuh dalam "jendela" nilai counter. Metode berbasis waktu serupa, yang utama
perbedaannya adalah waktu Unix saat ini (seperti yang dikembalikan oleh waktu(3)[17], misalnya) adalah
digunakan untuk membuat "jendela langkah waktu" yang berfungsi sebagai nilai penghitung dalam perhitungan
dari hash yang aman. Karena jam waktu nyata pada perangkat dan server mungkin tidak
cukup disinkronkan, algoritme pencocokan server juga harus memungkinkan
kata sandi untuk masuk dalam beberapa jendela langkah waktu untuk perangkat ini.
Security
Token dapat diberi kunci rahasia permanen (kadang-kadang disebut benih OTP) olehnya
pabrikan atau kuncinya mungkin dapat diprogram. Kunci rahasia ini digunakan oleh token
prosedur pembuatan kata sandi dan sangat penting untuk dijaga kerahasiaannya. Jika tokennya
tidak dapat diprogram, kuncinya diperoleh dari vendor (untuk token HOTP, biasanya
dengan memberikan nomor seri perangkat dan tiga kata sandi berturut-turut). Rekor
setiap pemetaan dari nomor seri ke kunci rahasia harus disimpan di lokasi yang aman.
Jika kunci rahasia dapat diprogram, seperti halnya dengan klien perangkat lunak, itu adalah
harus setidaknya 128 bit panjangnya; minimal 160 bit direkomendasikan. Itu
kunci diwakili oleh 16 (atau lebih) karakter string heksadesimal panjang. Kuncinya harus
diperoleh dari sumber bit acak berkualitas kriptografi. Beberapa klien mungkin
mampu menghasilkan kunci yang sesuai, tetapi Anda dapat menggunakan dacsexpr(1)[dua]:
% dacsexpr -e "acak(string, 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"
jenis
Token dapat digunakan untuk tujuan otentikasi selain komputer masuk. Untuk
Misalnya, dengan memberikan nomor rekening, PIN, dan nilai token, pelanggan dapat dengan cepat
diautentikasi melalui telepon, mengurangi atau menghilangkan kebutuhan akan biaya dan
pertanyaan keamanan yang memakan waktu.
Perangkat dan aplikasi kata sandi satu kali memiliki parameter operasional berikut.
Parameter ini menentukan urutan kata sandi yang dihasilkan. Beberapa operasional
parameter dapat diperbaiki (dengan standar yang relevan atau karena implementasi), sementara
lainnya mungkin sebagian atau seluruhnya dapat dikonfigurasi oleh pengguna. Silakan merujuk ke
referensi dan dokumentasi pabrikan untuk detailnya.
mendasarkan
Radix di mana kata sandi ditampilkan.
melawan
Untuk mode HOTP saja, nilai penghitung saat ini.
digit
Jumlah digit dalam setiap kata sandi satu kali.
kunci
Kunci rahasia (bibit OTP).
nomor seri
Pengidentifikasi atau nama unik untuk perangkat.
ukuran langkah waktu
Untuk mode TOTP saja, lebar setiap interval waktu, dalam detik. Kata sandi yang sama
akan dihasilkan dalam interval tertentu; yaitu, ini adalah "seumur hidup" atau validitas
periode setiap kata sandi TOTP.
Selain parameter tersebut, dactoken mempekerjakan beberapa per-akun (yaitu, per-perangkat)
parameter:
terima-jendela
Saat memvalidasi kata sandi HOTP, jumlah maksimum kata sandi yang perlu dipertimbangkan setelah
kata sandi yang diharapkan.
melayang
Hanya untuk mode TOTP, jumlah detik yang digunakan untuk menyesuaikan jam server
maju atau mundur untuk menyinkronkannya dengan perangkat dengan lebih baik. Ini digunakan untuk
mengkompensasi token atau perangkat lunak klien yang jamnya tidak disinkronkan dengan baik
milik server.
jendela melayang
Untuk mode TOTP saja, tetapi analog dengan jendela terima, jumlah maksimum
interval (setiap ukuran langkah waktu) untuk mencari maju dan mundur saat memvalidasi
terhadap sandi yang diberikan.
sinkronisasi-otps
Hanya untuk mode HOTP, jumlah kata sandi satu kali berturut-turut yang diperlukan untuk
menyinkronkan akun dengan perangkat.
nama pengguna
Nama dari DACS akun terikat ke perangkat.
Otentikasi berdasarkan perangkat kata sandi satu kali memiliki keuntungan sebagai berikut:
· Setiap kali pengguna mengautentikasi, kata sandi yang berbeda akan dibuat (dengan tinggi
kemungkinan); Oleh karena itu, pengguna tidak dapat menuliskan "kata sandi" karena kata sandinya adalah
selalu berubah; pengguna tidak dapat melupakan kata sandi mereka;
· Setelah digunakan, kata sandi mode HOTP segera "dikonsumsi" dan tidak mungkin digunakan
lagi untuk waktu yang lama; dengan parameter konfigurasi yang sesuai, kata sandi mode TOTP
secara otomatis "kedaluwarsa" dalam interval waktu yang relatif singkat dan tidak mungkin
digunakan lagi untuk waktu yang lama;
· Jika tidak diperlukan koreksi untuk penyimpangan jam, akun mode TOTP hanya dapat dibaca
operasi;
· Karena kata sandi tidak mungkin berupa angka atau string yang mudah ditebak, itu harus
lebih kuat dari kebanyakan kata sandi yang dipilih pengguna;
· Token HOTP dapat menjadi dasar dari metode otentikasi timbal balik ("dua arah"); NS
server menunjukkan kata sandi token berikutnya kepada pengguna untuk mengonfirmasi identitasnya (dengan keduanya
pihak memajukan penghitung mereka), maka klien menunjukkan server kata sandi berikutnya
untuk mengkonfirmasi identitasnya;
· Jika sniffer kunci diinstal pada komputer pengguna, kata sandi yang diendus tidak
melakukan penyerangan ada gunanya kecuali a laki-laki di tengah menyerang[19] adalah mungkin; diberikan N
kata sandi berturut-turut masih sangat sulit untuk menghitung kata sandi N + 1 tanpa
mengetahui kunci rahasia;
· Lebih sulit bagi pengguna untuk berbagi akun (walaupun terkadang pengguna mungkin
melihat ini sebagai ketidaknyamanan);
· Jika sebuah dactoken PIN diberikan ke akun dan penyerang mendapatkan akun
token, penyerang masih kesulitan untuk mengotentikasi tanpa mengetahui PIN;
· Cara cepat dan efektif untuk menonaktifkan akun hanya dengan mengambil
token perangkat keras (misalnya, jika seorang karyawan dipecat), meskipun akun dapat dinonaktifkan oleh
program ini atau menggunakan pencabutan daftar[empat];
· Dalam kasus klien perangkat lunak yang berjalan pada perangkat seluler, seperti telepon atau PDA,
pengguna sudah membawa perangkat bersama mereka; klien gratis tersedia, jadi di sana
mungkin tanpa biaya tambahan (perhatikan bahwa perangkat seluler mungkin tidak menawarkan hal yang sama
tamper-resistance, daya tahan, kerahasiaan kunci, akurasi jam, dll. dari token perangkat keras).
Perangkat kata sandi satu kali memiliki potensi kerugian berikut:
· Ada biaya satu kali untuk token perangkat keras (tergantung pada volume pembelian,
Anda dapat mengharapkan untuk membayar $10-$100 USD masing-masing), dan ada kemungkinan harus
mengganti token yang hilang atau rusak, atau baterai token (beberapa unit memiliki
baterai yang tidak dapat diganti, membuatnya sekali pakai setelah beberapa tahun);
· Konfigurasi awal agak lebih sulit dibandingkan dengan otentikasi lainnya
metode, dan pengguna yang tidak terbiasa dengan perangkat harus diinstruksikan tentang
menggunakan;
· Meskipun biasanya cukup kecil (misalnya, 5cm x 2cm x 1cm) dan dapat dilampirkan ke
gantungan kunci atau lanyard, atau disimpan di dompet, pengguna mungkin meringis karena harus membawa token
sekitar dengan mereka;
· Pengguna dapat lupa membawa token mereka atau kehilangan token;
· Perangkat seluler (dengan klien perangkat lunak) kemungkinan besar menjadi target pencurian, lebih banyak lagi
daripada token perangkat keras (karenanya PIN sangat penting untuk perangkat ini);
· Tidak seperti token perangkat keras di mana kuncinya dibakar menjadi tidak dapat diakses, anti-rusak
memori, kunci yang dikonfigurasi ke dalam klien perangkat lunak kemungkinan besar dapat dibaca olehnya
pemilik, memungkinkan berbagi akun;
· Memasukkan nilai benih 40 karakter atau lebih ke dalam perangkat seluler bisa membuat frustasi
dan rentan terhadap kesalahan;
· Setelah perangkat TOTP membuat kata sandi, kata sandi baru tidak dapat dibuat sampai
jendela langkah waktu berikutnya, mengharuskan pengguna untuk menunggu 30 (atau mungkin 60) detik (misalnya,
jika terjadi kesalahan entri);
· Beberapa perangkat sulit dibaca dalam kondisi cahaya redup; pengguna presbiopia dan mereka
dengan gangguan penglihatan mungkin mengalami kesulitan membaca tampilan.
Akun
Akun yang dikelola oleh dactoken benar-benar terpisah dari akun yang digunakan oleh
local_passwd_authenticate[21] atau lainnya DACS modul otentikasi.
Akun untuk perangkat HOTP dan TOTP dapat digabungkan atau disimpan terpisah. Jika maya
jenis item filestore auth_hotp_token didefinisikan, hanya digunakan untuk akun yang terkait
dengan token HOTP. Demikian pula, jika jenis item penyimpanan file virtual auth_totp_token adalah
didefinisikan, ini hanya digunakan untuk akun yang terkait dengan token TOTP. Jika salah satu jenis item adalah
tidak ditentukan, akun diakses melalui DACS penyimpanan file virtual menggunakan tipe item
auth_token. Diasumsikan bahwa izin file pada basis data akun sedemikian rupa sehingga semua
akses terbatas pada administrator dan local_token_authenticate.
Jika akun untuk kedua jenis perangkat adalah bergabung, karena setiap nama pengguna untuk sebuah
metode otentikasi harus unik, jika seseorang memiliki kedua jenis token, mereka harus
diberikan nama pengguna yang berbeda. Jadi, misalnya, jika Auggie memiliki satu token HOTP dan satu
Token TOTP, yang pertama mungkin sesuai dengan nama pengguna auggie-hotp dan yang terakhir untuk
auggie-totp; formulir masuk mungkin menyertakan input mode perangkat yang memungkinkan Auggie
cukup ketik "auggie" di bidang nama pengguna dan JavaScript untuk secara otomatis menambahkan
akhiran yang sesuai berdasarkan mode perangkat yang dipilih. Kerugian yang jelas dari ini
konfigurasi adalah bahwa itu menghasilkan dua yang berbeda DACS identitas untuk individu yang sama;
ini harus diingat jika aturan kontrol akses diperlukan untuk mengidentifikasi Auggie
secara eksplisit. Jika kedua token harus dipetakan ke yang sama DACS identitas, klausa Auth bisa
hapus sufiks setelah otentikasi berhasil, tetapi administrator kemudian akan
perlu waspada terhadap kasus dua Auggies yang berbeda, masing-masing menggunakan jenis perangkat yang berbeda.
Mengonfigurasi tipe item auth_hotp_token dan auth_totp_token (atau hanya salah satunya
dan auth_token) memisahkan akun dan mengizinkan nama pengguna yang sama digunakan untuk
kedua jenis perangkat. Oleh karena itu, Auggie dapat memiliki catatan akun yang sama
nama pengguna untuk kedua jenis perangkat. Pendekatan ini membutuhkan mode perangkat yang akan ditentukan
ketika operasi diminta sehingga jenis item yang benar dapat digunakan; ini berarti bahwa
pengguna harus mengetahui jenis perangkat yang mereka gunakan (mungkin dengan membubuhkan label pada perangkat tersebut).
Lihat detail penting mengenai DACS identitas[22].
Grafik -vfs digunakan untuk mengkonfigurasi atau mengkonfigurasi ulang jenis item auth_token.
Hanya kunci yang memenuhi persyaratan panjang kunci minimum (16 byte) dapat disimpan dengan
informasi akun (misalnya, dengan -mengatur or -impor). Dalam konteks lain, persyaratannya adalah
tidak diberlakukan.
Kunci rahasia dienkripsi oleh dactoken ketika ditulis ke file akun. NS
jenis item penyimpanan file virtual auth_token_keys mengidentifikasi kunci enkripsi untuk dactoken
menggunakan; NS -inkey dan -kunci keluar flag menentukan alternatif (lihat dackey(1)[23]). jika
kunci enkripsi hilang, kunci rahasia praktis tidak dapat dipulihkan.
penting
Jika penyerang menemukan kunci rahasia, menghasilkan kata sandi yang dapat digunakan tanpa memiliki
token tidak akan sulit. Untuk setidaknya beberapa token perangkat keras, kuncinya dibakar
ke dalam perangkat dan tidak dapat diubah; dalam hal ini, jika kuncinya bocor perangkat
harus dihancurkan. Jika token hilang, akun terkait harus dinonaktifkan.
Jika penyerang menemukan token yang hilang atau menemukan kunci rahasia, memiliki kunci yang kuat
PIN yang terkait dengan akun akan menyulitkan penyerang untuk mendapatkan
mengakses.
penting
· Metode otentikasi ini telah diuji terhadap produk OTP berikut:
· auteneks Kunci-A 3600[24] token perangkat keras kata sandi satu kali (HOTP);
· Feitian Teknologi[25] Perangkat keras sandi satu kali OTP C100 dan OTP C200
token, disediakan oleh HyperSecu Informasi sistem[26]; dan
· OATH Token[27] aplikasi perangkat lunak oleh Archie Cobbs, yang mengimplementasikan keduanya
HOTP dan TOTP pada iPod Menyentuh, iPhone, dan iPad[28].
· Teknologi Feitian iOATH Lite[29] Aplikasi perangkat lunak HOTP untuk iPod
Sentuh, iPhone, dan iPad.
Produsen lain yang tertarik untuk memiliki produk mereka didukung oleh DACS adalah
selamat datang untuk menghubungi Dss.
· Foto[30]: Feitian OTP C200, iPod Touch dengan aplikasi OATH Token, Authenex A-Key
3600 (searah jarum jam dari kiri atas)
· Meskipun implementasi ini harus bekerja dengan produk yang serupa dan sesuai, hanya
produk ini secara resmi didukung oleh DACS.
· Token perangkat keras dapat dibeli langsung dari vendor.
· Masalah apa pun dengan menggunakan token untuk mengautentikasi melalui DACS bukan
tanggung jawab vendor token.
Pengimporan dan Mengekspor OTP Akun
Deskripsi akun dan tokennya dapat dimuat atau dibuang (lihat -impor
dan -ekspor bendera). Ini menyederhanakan penyediaan massal, pencadangan, dan portabilitas. NS
informasi akun ditulis dalam format XML yang sederhana, khusus aplikasi (hampir).
Format yang dipahami oleh dactoken terdiri dari elemen root ("otp_tokens"), diikuti oleh
nol atau lebih elemen "otp_token", satu per baris, masing-masing dengan wajib dan opsional
atribut (dijelaskan di bawah). Deklarasi XML harus dihilangkan. Memimpin spasi dan
baris kosong diabaikan, seperti komentar XML baris tunggal. Selain itu, baris yang memiliki "#"
sebagai karakter non-spasi pertama diabaikan. Atribut opsional yang tidak
sekarang diberikan nilai default. Algoritme intisari default adalah SHA1. Atribut pendek
nama digunakan untuk menghemat ruang. Atribut yang tidak dikenali, dan atribut yang tidak relevan dengan
mode perangkat, diabaikan. Karakter kutipan tunggal atau ganda (atau keduanya) dalam atribut XML
nilai harus diganti dengan referensi entitas yang sesuai ("'" dan """,
masing-masing), seperti halnya karakter "<" (kurang dari) dan "&" (ampersand). A ">" (lebih besar
than) karakter opsional dapat diganti dengan urutan ">", tetapi tidak ada entitas lain
referensi diakui.
Atribut yang diakui adalah:
· B:
mendasarkan
-- radix untuk nilai OTP
[Opsional:
10 (Default),
16, atau 32]
· C:
melawan
-- nilai penghitung saat ini untuk HOTP, dalam hex jika didahului
dengan "0x" (atau "0X"), desimal sebaliknya
[Opsional:
defaultnya adalah 0]
· D:
OTP alat mode
-- "c" (untuk HOTP)
atau "t" (untuk TOTP)
[Wajib]
· hari:
intisari-nama
-- salah satu dari Algoritma Hash Aman
[Opsional:
SHA1 (bawaan),
SHA224, SHA256,
SHA384, SHA512]
· dr:
jam-melayang
-- penyesuaian jam, dalam detik, untuk TOTP
[Pilihan]
· ek:
kunci terenkripsi
-- kunci rahasia terenkripsi, disandikan base-64
[Yg dibutuhkan:
Hanya catatan akun OTP]
· dalam:
diaktifkan-status
-- 1 untuk diaktifkan,
0 untuk orang cacat
[Wajib]
· k:
kunci-plaintext
-- kunci rahasia tidak terenkripsi
[Wajib]
· kamu:
pembaharuan Terakhir
- Waktu Unix dari pembaruan catatan terakhir
[Opsional: default adalah waktu saat ini]
· dan:
angka
-- jumlah digit untuk nilai OTP
[Opsional:
defaultnya adalah 6 untuk HOTP,
8 untuk TOTP]
· P:
teks biasa-PIN
-- nilai PIN plaintext untuk akun
[Yg dibutuhkan:
kecuali ph ada,
untuk impor saja]
· telepon:
hash-PIN
-- nilai PIN hash untuk akun
[Opsional:
dihasilkan oleh dactoken
hanya untuk file akun ekspor dan OTP]
· S:
nomor seri
-- string pengenal unik untuk perangkat
[Wajib]
· ts:
langkah waktu
-- nilai langkah waktu, dalam detik, untuk TOTP
[Opsional:
defaultnya adalah 30]
· kamu:
nama pengguna
-- sah DACS nama pengguna yang terkait dengan akun ini
[Wajib]
Contoh berikut menjelaskan dua akun yang mungkin dibuat menggunakan: -impor bendera:
Security
Karena catatan yang diimpor menyertakan kunci rahasia yang tidak dienkripsi untuk perangkat OTP,
file yang diekspor harus disimpan terenkripsi (misalnya, menggunakan openssl) atau setidaknya memiliki
izin file yang sesuai.
Note
Format standar untuk penyediaan perangkat OTP sedang dikembangkan. Format ini mungkin
dipahami oleh versi masa depan dactoken, atau utilitas konversi dapat ditulis.
Format standar kemungkinan akan jauh lebih kompleks daripada DACS Format.
PILIHAN
Selain standar pilihan[1], daftar panjang flag baris perintah adalah
dikenali. Ketika sebuah nama pengguna diberikan, nilai default yang terkait dengan akun itu adalah
digunakan, jika tidak direkomendasikan atau default khusus implementasi digunakan. Default ini
nilai biasanya dapat diganti pada baris perintah. Beberapa bendera hanya diperbolehkan dengan a
mode token tertentu (misalnya, -melawan, -totp-pertunjukan) dan penampilan mereka menyiratkan mode itu,
membuat sebuah -mode bendera yang tidak perlu; bendera lain adalah mode independen (misalnya, -menghapus,
-memungkinkan). Ini adalah kesalahan untuk menggunakan kombinasi bendera yang saling tidak kompatibel. Bendera itu
berarti dengan operasi yang dipilih diabaikan, meskipun mereka masih menyiratkan mode.
Nilai heksadesimal tidak peka huruf besar/kecil. Jika nilai penghitung diperlukan tetapi tidak ditentukan
(misalnya, saat membuat akun), nilai penghitung awal nol digunakan.
Grafik spesifikasi-op menentukan operasi yang akan dilakukan, bersama dengan nol atau lebih pengubah
bendera. Jika spesifikasi-op hilang, itu -daftar operasi dilakukan. NS spesifikasi-op adalah salah satu
sebagai berikut:
-auth otp-nilai
Bendera ini seperti -mengesahkan[31], kecuali:
· Sebuah nama pengguna diperlukan, dari mana semua parameter diperoleh (seperti kunci);
· jika akun memiliki PIN, harus disediakan;
· jika akun untuk token HOTP, penghitung akan diperbarui jika otentikasi
berhasil.
Status keluar dari nol menunjukkan otentikasi yang berhasil, sementara nilai lainnya
berarti otentikasi gagal.
-mengubah nama file
Muat file akun token format lama (sebelum merilis 1.4.25) dari nama file ("-"
berarti membaca dari stdin), mengubahnya ke format yang lebih baru, dan menulisnya ke stdout (sebagai
by -ekspor). Bendera ini tidak digunakan lagi dan kemampuan ini akan dihapus di masa mendatang
pelepasan DACS.
-membuat
Buat akun untuk nama pengguna, yang seharusnya belum ada. Dalam hal lain itu
bekerja seperti -mengatur[32]. Saat membuat akun baru, -serial diperlukan dan -kunci is
tersirat. Jika tidak -memungkinkan bendera disediakan saat membuat akun, -cacat tersirat.
Jika tidak -melawan flag disediakan, default nol digunakan. Jika salah satu tanda PIN adalah
ada, PIN yang diberikan akan diberikan ke akun, jika tidak, akun tidak akan
memiliki PIN (atau PIN yang ada tidak akan diubah).
-saat ini
Tampilkan faktor pergerakan saat ini (yaitu, nilai penghitung untuk HOTP atau interval
nilai untuk TOTP) dan OTP yang diharapkan untuk nama pengguna. Untuk HOTP, penghitungnya maju. Semua
parameter diambil dari akun.
-menghapus
Hapus akun untuk nama pengguna. Kunci rahasia perangkat dan operasional lainnya
parameter akan hilang.
-delpin
Hapus PIN, jika ada, pada akun untuk nama pengguna, meninggalkan akun tanpa a
PIN.
-ekspor
Tulis informasi tentang semua akun, atau hanya satu akun jika nama pengguna diberikan, untuk
stdout. Namun, jika mode dipilih, hanya akun yang memiliki mode itu yang akan
tertulis. Informasi ini dapat dimuat ulang menggunakan -impor or -impor-ganti. Hasil
harus disimpan dalam bentuk terenkripsi, atau setidaknya memiliki izin filenya
ditetapkan dengan tepat. Sebagai contoh:
% dacstoken -uj CONTOH -ekspor | openssl enc -aes-256-cbc > dacstoken-exported.enc
Nanti, Anda mungkin melakukan sesuatu seperti:
% openssl enc -d -aes-256-cbc < dacstoken-exported.enc | dacstoken -uj CONTOH -import -
-h
-bantu
Tampilkan pesan bantuan dan keluar.
-hotp-pertunjukan num
Display num kata sandi HOTP berturut-turut dari nilai dan kunci penghitung yang diberikan. NS
-melawan flag dapat digunakan untuk menentukan nilai penghitung awal. Kuncinya bisa
ditentukan menggunakan -kunci, -file-kunci, atau -kunci-prompt. Jika sebuah nama pengguna disediakan,
nilai penghitung awal dan kunci diperoleh dari akun HOTP pengguna, kecuali jika:
nilai diganti pada baris perintah; nilai penghitung yang disimpan akun tidak
diubah. Ini terutama ditujukan untuk tujuan debugging.
-impor nama file
-impor-ganti nama file
Muat informasi akun dan token dari nama file; jika nama file adalah "-", stdin dibaca.
Jika mode dipilih, hanya akun yang memiliki mode tersebut yang akan dibaca. Dengan -impor ini
kesalahan jika akun yang diimpor sudah ada, dan pemrosesan berhenti; -impor-ganti
akan mengganti akun yang ada dengan data yang diimpor.
-l
-daftar
-panjang
If nama pengguna disediakan, menampilkan informasi tentang akun yang sesuai; jika
-serial flag diberikan, menampilkan informasi tentang akun dengan serial yang ditentukan
nomor; jika tidak, daftarkan semua akun. jika -mode bendera diberikan dalam kasus-kasus ini,
namun, daftar hanya akun yang memiliki mode operasional yang ditentukan. Jika ini
bendera diulang, atau dengan -panjang bendera, lebih detail ditampilkan: jenis perangkat,
status akun, nomor seri perangkat, nilai penghitung (untuk HOTP), nilai penyimpangan jam (untuk
TOTP), apakah akun memiliki PIN atau tidak (ditunjukkan dengan simbol "+" atau "-"), dan
waktu dan tanggal modifikasi terakhir akun.
-ganti nama baru-username
Ganti nama akun yang ada menjadi nama pengguna menjadi baru-username, dan ubah yang baru
akun menggunakan argumen baris perintah (seperti dengan -mengatur[32]). Karena ini membutuhkan dua langkah
yang tidak dilakukan secara atomik, jika terjadi kesalahan dimungkinkan akun baru untuk
dibuat dan akun lama tetap ada.
-mengatur
Grafik -mengatur flag digunakan untuk mengubah akun yang ada untuk nama pengguna berdasarkan satu atau lebih
argumen pengubah (-mendasarkan, -melawan, -digit, -cacat or -memungkinkan, -kunci (Atau -file-kunci
or -kunci-prompt), -Pin (Atau -pin-file or -pin-cepat), atau -serial). Modusnya juga bisa
diubah dengan menentukan -mode, tetapi parameter khusus mode yang terkait dengan akun
akan hilang (misalnya, nilai penghitung saat ini akan dihapus jika akun HOTP adalah
diubah menjadi akun TOTP) dan parameter umum (seperti nomor seri) akan menjadi
dipertahankan kecuali diganti pada baris perintah.
-sync daftar kata sandi
Dalam mode HOTP, ini mencoba menyinkronkan server dengan token untuk nama pengguna. itu
daftar kata sandi adalah daftar tiga kata sandi berurutan yang dipisahkan koma yang dihasilkan oleh
token pengguna (fungsi "sinkronisasi otomatis" ini juga tersedia melalui
local_token_authenticate[3]). Urutan yang diberikan harus sesuai dengan urutan yang dihitung
persis, mengingat parameter operasional yang berlaku; misalnya, nol di depan adalah
signifikan, seperti radix tampilan dan jumlah digit OTP yang berlaku. Jika
sinkronisasi berhasil, pengguna harus dapat mengautentikasi menggunakan yang berikutnya
sandi yang dihasilkan oleh perangkat. Algoritma pencarian lengkap menggunakan peningkatan
nilai penghitung digunakan, dengan batas waktu kompilasi pada jumlah maksimum
perhitungan. Pencarian dimulai pada nilai penghitung yang saat ini disimpan server, kecuali
satu disediakan menggunakan -melawan. Jika tidak berhasil, operasi ini bisa memakan waktu lama
sebelum berakhir; pengguna harus menghubungi administrator untuk mendapatkan bantuan.
Dalam mode TOTP, coba tentukan seberapa dekat sinkronisasi jam sistem dengan
jam token dan tampilkan hasilnya. Informasi ini dapat digunakan untuk memperbarui
catatan token pengguna untuk mengimbangi jam yang tidak disinkronkan dengan baik, atau untuk menyesuaikan
parameter validasi. Kunci token dan nama algoritma intisari adalah
diperoleh untuk catatan token milik nama pengguna, jika diberikan; jika tidak, kuncinya
diminta dan algoritma intisari yang akan digunakan diperoleh dari perintah
garis atau default. Hanya kata sandi pertama di daftar kata sandi digunakan. Itu
-totp-langkah waktu, -digit, dan -top-base pilihan efektif selama operasi ini.
-uji
Lakukan beberapa tes mandiri, lalu keluar. Status keluar bukan nol berarti terjadi kesalahan.
-totp-pertunjukan num
Tampilkan urutan kata sandi TOTP menggunakan parameter yang saat ini berlaku:
ukuran interval (-totp-langkah waktu), jumlah angka (-digit), dan dasar (-mendasarkan). Itu
parameter tersimpan akun tidak diubah. Ini terutama ditujukan untuk debugging
tujuan.
Jika nama pengguna disediakan (harus dikaitkan dengan perangkat TOTP), kunci dan
parameter tersimpan lainnya dari akun digunakan kecuali diganti oleh baris perintah
bendera. Urutan kata sandi untuk num interval sebelum dan sesudah waktu sekarang,
bersama dengan kata sandi untuk waktu saat ini dicetak.
Jika tidak nama pengguna diberikan, program meminta kunci (yang digemakan) dan menggunakan
bendera baris perintah atau nilai default untuk parameter. Itu kemudian memancarkan kata sandi TOTP
untuk waktu saat ini setiap kali Return/Enter ditekan. Mengetik EOF menyebabkan langsung
penghentian.
-mengesahkan otp-nilai
If otp-nilai adalah kata sandi satu kali yang diharapkan berikutnya, kembalikan status keluar dari nol ke
menunjukkan keberhasilan; nilai lain menunjukkan kegagalan. Jika nama pengguna diberikan, parameter
untuk validasi, termasuk kunci, diperoleh dari akun itu kecuali diganti pada
baris perintah. Status server tidak berubah; misalnya, penghitung HOTP tidak
canggih. Jika tidak nama pengguna diberikan, -mode bendera harus digunakan dan parameternya
diperlukan untuk mode itu harus diberikan, termasuk kunci. Untuk mode HOTP, nilai penghitung
harus disediakan. Untuk mode TOTP, parameter baris perintah efektif selama ini
validasi. dactoken akan menguji apakah otp-nilai memvalidasi terhadap parameter di
efek.
Berikut ini pengubah bendera dipahami:
-semua
Dengan -mengatur dan tidak nama pengguna, terapkan perubahan pada semua akun. Ini dapat digunakan untuk
mengaktifkan atau menonaktifkan semua akun, misalnya. NS -inkey dan -kunci keluar bendera adalah
terhormat. Jika terjadi kesalahan, pemrosesan segera berhenti, dalam hal ini hanya beberapa
akun mungkin telah dimodifikasi.
-mendasarkan num
penggunaan num sebagai basis (radix) saat menampilkan OTP. Nilai dari num dibatasi untuk
10 (default), 16, atau 32.
-melawan num
Ini adalah nilai penghitung HOTP 8-byte yang akan ditetapkan, dinyatakan sebagai nilai heksagonal jika didahului oleh
dengan "0x" (atau "0X"), desimal sebaliknya. Angka nol di depan dapat dihilangkan. Ini menyiratkan HOTP
mode. Untuk perangkat token, seharusnya tidak mungkin untuk mengatur ulang penghitung (penghitung modulo
overflow) karena itu akan mengakibatkan urutan kata sandi diulang, dengan asumsi
bahwa kuncinya tidak diubah; implementasi perangkat lunak mungkin tidak memiliki batasan ini,
Namun, jadi waspadalah terhadap implikasi keamanan.
-digit num
penggunaan num digit saat menampilkan OTP. Nilai dari num dibatasi untuk 6, 7, 8 (The
default), atau 9 dengan dasar 10. Hal ini dibatasi untuk 6 dengan dasar 32 dan diabaikan dengan
mendasarkan 16 (keluaran heksagonal).
-cacat
Nonaktifkan akun untuk nama pengguna. itu local_token_authenticate modul, dan -auth dan
-mengesahkan bendera, tidak akan mengizinkan pengguna untuk mengautentikasi sampai akun telah
diaktifkan, meskipun operasi lain masih dapat dilakukan pada akun. Jika -memungkinkan
selanjutnya digunakan, akun tersebut akan dapat digunakan untuk otentikasi dan
dikembalikan ke keadaannya pada saat dinonaktifkan. Ini bukan kesalahan untuk menonaktifkan
sudah menonaktifkan akun.
-memungkinkan
Aktifkan akun untuk nama pengguna. itu local_token_authenticate modul akan memungkinkan
pengguna untuk mengautentikasi. Ini bukan kesalahan untuk mengaktifkan akun yang sudah diaktifkan.
-hotp-jendela num
Jika kata sandi HOTP yang diharapkan tidak cocok dengan kata sandi yang diberikan, coba cocokkan dengan
num password setelah password yang diharapkan dalam urutan. Nilai nol untuk num
menonaktifkan pencarian ini.
-inkey tipe barang
Untuk mendekripsi kunci rahasia, gunakan toko yang diidentifikasi oleh tipe barang, mungkin
dikonfigurasi di dacs.conf.
-kunci kunci
penggunaan kunci sebagai kunci rahasia, dinyatakan sebagai string digit hex.
Security
Menyediakan kunci pada baris perintah tidak aman karena mungkin terlihat oleh
proses lainnya.
-file-kunci nama file
Baca kunci rahasia, dinyatakan sebagai string digit heksagonal, dari nama file. Jika nama file is
"-", kuncinya dibaca dari stdin.
-kunci-prompt
Prompt untuk kunci rahasia, dinyatakan sebagai string digit hex. Masukan tidak digemakan.
-mode mode otp
Ini menentukan (tidak peka huruf besar/kecil) jenis token (mode perangkat OTP) untuk digunakan
dengan -mengatur, -membuat, dan operasi validasi dan sinkronisasi. NS mode otp mungkin
baik counter atau hotp untuk mode counter, atau waktu atau totp untuk mode berbasis waktu. Ini
bendera diperlukan saat membuat akun baru.
-kunci keluar tipe barang
Untuk mengenkripsi kunci rahasia, gunakan toko yang diidentifikasi oleh tipe barang, mungkin didefinisikan
di dacs.conf.
-Pin pinval
penggunaan pinval sebagai PIN rahasia untuk akun tersebut.
Security
Memberikan PIN pada baris perintah tidak aman karena mungkin terlihat oleh
proses lainnya.
-pin-batasan str
Alih-alih menggunakan PASSWORD_CONSTRAINTS[14], gunakan str (memiliki sintaks yang sama dan
semantik) untuk menjelaskan persyaratan PIN.
Note
Persyaratan untuk PIN berlaku untuk PIN yang diperoleh melalui bendera baris perintah dan untuk itu
diperoleh dengan mengimpor (menggunakan atribut "p"). Persyaratan tidak
"retroaktif", namun, jadi mengubah persyaratan tidak memengaruhi PIN
akun yang ada atau akun pengimpor yang sebelumnya diekspor (memiliki
atribut "ph").
-pin-file nama file
Baca PIN rahasia dari nama file. Jika nama file adalah "-", PIN dibaca dari stdin.
-pin-cepat
Minta PIN rahasia. Masukan tidak digemakan.
-rd
Dicadangkan untuk penggunaan di masa mendatang.
-benih str
Dicadangkan untuk penggunaan di masa mendatang.
-serial str
Nomor seri, str, adalah pengidentifikasi unik (konon) yang ditetapkan ke token.
Opsi ini digunakan dengan -mengatur, -membuat, dan -daftar bendera. Nomor seri
mengidentifikasi perangkat OTP tertentu dan tidak perlu dirahasiakan. Properti keunikan
diberlakukan dalam unit penyimpanan jenis barang; yaitu, nomor seri semua HOTP
perangkat harus unik, nomor seri semua perangkat TOTP harus unik, dan jika
akun untuk kedua jenis perangkat digabungkan, semua nomor seri perangkat harus
unik. Setiap string yang dapat dicetak diterima. Jika klien perangkat lunak menghasilkan
kata sandi, Anda dapat menggunakan nomor seri perangkat, atau memilih deskriptif yang sesuai
string belum ditetapkan ke perangkat.
Note
Yurisdiksi yang mengizinkan (atau mungkin pada akhirnya mengizinkan) token perangkat keras dan
aplikasi klien yang menghasilkan perangkat lunak harus mempertimbangkan untuk mengadopsi
skema penamaan untuk tokennya. Misalnya, administrator mungkin menambahkan "-hw" ke
nomor seri vendor untuk membentuk dactoken nomor seri. Untuk perangkat lunak
token, administrator dapat membuat dactoken nomor seri dengan menambahkan
"-sw" ke nomor seri vendor perangkat.
-totp-delta num
Sesuaikan waktu dasar dengan num interval (setiap ukuran langkah jumlah detik) ketika
menghitung TOTP. NS num mungkin negatif, nol, atau positif. Ini digunakan untuk mengoreksi
untuk jam yang tidak disinkronkan secara memadai.
-totp-melayang jendela baru
Untuk TOTP, gunakan ukuran jendela jendela baru (dalam hal ukuran interval) untuk
validasi. Jika jendela baru is 0, nilai TOTP yang dihitung harus sesuai dengan yang diberikan
tepat. Jika jendela baru is 1, Misalnya, dactoken akan mencoba mencocokkan TOTP yang diberikan
nilai dalam interval sebelumnya, saat ini, dan berikutnya. Hal ini memungkinkan jam di
sistem berjalan dactoken (Atau local_token_authenticate) dan perangkat penghasil token untuk
menjadi kurang tersinkronisasi dengan baik.
Security
Meskipun mengkompensasi jam yang disinkronkan dengan buruk, meningkatkan nilai
jendela baru melemahkan sistem dengan memperpanjang masa pakai kata sandi satu kali.
-totp-hash ganggang
penggunaan ganggang sebagai algoritma digest dengan TOTP. Nilai dari ganggang terbatas pada (kasus
tidak sensitif) SHA1 (default), SHA256, atau SHA512.
-totp-langkah waktu detik
penggunaan detik sebagai ukuran interval saat menghitung TOTP. Itu harus lebih besar dari nol. NS
defaultnya adalah 30 detik.
Security
Meskipun mengkompensasi jam yang disinkronkan dengan buruk, meningkatkan nilai
detik melemahkan sistem dengan memperpanjang masa pakai kata sandi satu kali.
-vfs vfs_uri
penggunaan vfs_uri untuk menimpa VFS[33] arahan konfigurasi berlaku. Ini bisa jadi
digunakan untuk mengkonfigurasi atau mengkonfigurasi ulang auth_token, auth_hotp_token, atau auth_totp_token ke
tentukan metode penyimpanan untuk akun yang sedang ditindaklanjuti.
Terlepas dari pesan kesalahan, yang dicetak ke kesalahan standar, semua output masuk ke
keluaran standar.
Biasanya, pilihan akan ditentukan untuk memilih yurisdiksi atas nama yang
akun sedang dikelola.
CONTOH
Contoh-contoh ini mengasumsikan bahwa nama yurisdiksi yang akan digunakan adalah EXAMPLE dan federasinya
domainnya adalah example.com.
Untuk menggunakan metode otentikasi ini, a DACS administrator mungkin melakukan langkah-langkah berikut:
untuk setiap perangkat OTP yang ditetapkan ke pengguna:
1. Dapatkan token yang didukung, tinjau cara penggunaannya untuk otentikasi, dan pilih nilai
untuk berbagai parameter. Dapatkan kunci rahasia untuk perangkat dari vendor; untuk
perangkat yang dapat diprogram, pilih kunci acak yang sesuai dan program ke dalam perangkat.
Nilai penghitung saat ini juga dapat diperoleh dari vendor, meskipun
cenderung diinisialisasi ke nol; untuk perangkat yang dapat diprogram, setel nilai penghitung ke
nol. Putuskan apakah PIN akan diperlukan (lihat TOKEN_REQUIRES_PIN[9]). Jika sebuah perangkat lunak
klien sedang digunakan, instal perangkat lunak pada perangkat pengguna (atau minta pengguna melakukannya
jadi), dan konfigurasikan perangkat lunak.
2. Tentukan di mana informasi akun akan disimpan dan, jika perlu, tambahkan yang sesuai
VFS[33] direktif ke dacs.conf. Default (ditemukan di site.conf) mempertahankan akun
informasi dalam file bernama auth_tokens dalam privat default masing-masing yurisdiksi
daerah:
VFS "[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_tokens"
3. Buat kunci untuk mengenkripsi informasi akun (lihat Token dan rahasia kunci-kunci[34]) dan
memutuskan di mana mereka akan disimpan; misalnya (ID pengguna Anda, ID grup, jalur,
nama yurisdiksi, dan domain federasi dapat bervariasi):
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj CONTOH -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
Jika perlu, tambahkan yang sesuai VFS[33] direktif ke dacs.conf; default, yaitu
digunakan di atas, menyimpan informasi akun dalam file bernama auth_token_keys di dalam
area pribadi default setiap yurisdiksi:
VFS "[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys"
4. Jika Anda membutuhkan pengguna untuk masuk melalui dacs_authenticate(8)[2], Anda harus mengonfigurasi
Klausa Auth yang cocok di dacs.conf, misalnya:
URL "tanda"
GAYA "lulus"
KONTROL "cukup"
5. Ada beberapa cara yang dapat dilakukan administrator, tergantung pada seberapa banyak
upaya dapat dilakukan oleh pengguna (misalnya, apakah mereka dapat dipercaya, teknis mereka
kemampuan), berapa banyak pengguna yang ada (beberapa, atau ribuan), dan tingkat keamanan
diperlukan.
1. siapkan file yang berisi XML catatan[35] untuk setiap akun yang akan dibuat; jika
PIN akan digunakan, berikan PIN acak ke setiap akun;
2. gunakan -impor[36] bendera untuk membuat akun;
3. berikan perangkat token, nama pengguna, dan (jika perlu) PIN awal kepada pengguna
(mungkin memverifikasi identitas), memberikan demonstrasi yang diperlukan dan
instruksi;
4. minta pengguna mengatur atau mengatur ulang PIN untuk akun tersebut, dan meminta pengguna untuk masuk
menggunakan token untuk mengkonfirmasi operasi yang benar.
Untuk membuat akun yang dinonaktifkan untuk bobo pengguna untuk perangkat HOTP:
% dacstoken -uj CONTOH -mode hotp -serial 37000752 -key-file bobo.key -buat bobo
Kunci rahasia untuk akun (yang harus belum ada) dibaca dari file
bobo.key. Akun baru dinonaktifkan secara default; menggunakan -memungkinkan untuk membuat akun yang diaktifkan.
Setelah akun dibuat, akun dapat disinkronkan dengan token. Untuk menyinkronkan
token HOTP untuk pengguna bobo:
% dacstoken -uj CONTOH -sinkronisasi 433268,894121,615120 bobo
Dalam contoh ini, token tertentu menghasilkan tiga kata sandi berturut-turut 433268,
894121, dan 615120. Perhatikan bahwa string urutan kata sandi yang mengikuti -sync bendera adalah
argumen tunggal yang tidak dapat memiliki ruang tertanam. Jika kunci untuk token ini adalah
19c0a3519a89b4a8034c5b9306db, kata sandi berikutnya yang dihasilkan oleh token ini adalah 544323
(dengan nilai penghitung 13). Ini dapat diverifikasi menggunakan -hotp-pertunjukan:
% dacstoken -hotp-show 5 -penghitung 10 -kunci 19c0a3519a89b4a8034c5b9306db
000000000000000a: 433268
000000000000000b: 894121
000000000000000c: 615120
000000000000000d: 544323
000000000000000e: 002442
Untuk mengaktifkan akun untuk pengguna bobo:
% dacstoken -uj CONTOH -aktifkan -set bobo
Untuk mengatur PIN dan mengaktifkan akun untuk pengguna bobo:
% dacstoken -uj CONTOH -aktifkan -pin "CzAy" -set bobo
Untuk membuat daftar semua akun secara detail:
% dacstoken -uj CONTOH -long
Grafik -daftar flag berlebihan karena ini adalah operasi default. NS -mode, -melawan, Dll
pengubah tidak berpengaruh saat mendaftar.
Untuk mendaftar hanya akun bobo:
% dacstoken -uj CONTOH -daftar bobo
Status keluar tidak akan nol jika pengguna ini tidak memiliki akun.
Untuk menampilkan akun perangkat dengan nomor seri 37000752:
% dacstoken -uj CONTOH -serial 37000752
Nomor seri, yang seharusnya mengidentifikasi token secara unik, sering kali dicetak pada token
atau dapat ditampilkan oleh token.
Untuk mengatur nilai penghitung untuk akun bobo yang ada:
% dacstoken -uj CONTOH -penghitung 9 -set bobo
Operasi ini dapat digunakan untuk pengujian atau dengan token perangkat lunak. NS -sync operasi adalah
lebih tepat untuk token perangkat keras.
Untuk mengubah PIN untuk nama pengguna bobo:
% dacstoken -uj CONTOH -pin-prompt -set bobo
Program akan meminta PIN baru.
Untuk menggunakan file akun alternatif, /secure/auth_tokens:
% dacstoken -uj CONTOH -vfs "dacs-kwv-fs:/secure/auth_tokens" -daftar
Untuk menggunakan kunci baru (membuat asumsi yang sama seperti sebelumnya), tambahkan direktif VFS yang sesuai ke
dacs.conf; default mendefinisikan tipe item auth_token_keys_prev sebagai berikut:
VFS "[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys.prev"
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj CONTOH -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj CONTOH -inkeys auth_token_keys.prev -set
DIAGNOSTIK
Program keluar dari 0, atau 1 jika terjadi kesalahan.
Gunakan dacstoken online menggunakan layanan onworks.net
