זוהי הפקודה dacsauth שניתן להפעיל בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
dacsauth - בדיקת אימות
תַקצִיר
דאקסאוט [-m auth-module-spec] [...] [-r תפקידים-מודול-מפרט] [...] [-Dהוראה=ערך]
[-אוקס]
[-fj שם חבר] [-פני fedname] [-h | עזרה] [-] [-ll log_level]
[-p סיסמא]
[-pf פילה] [-מיידי] [-q] [{-u | משתמש} שם משתמש] [-v]
מודולי dacsauth
תיאור
תוכנית זו היא חלק מ- DACS סוויטה.
אל האני דאקסאוט כלי השירות בודק אם חומר אימות נתון עומד באימות
דרישות ומציין את התוצאה דרך סטטוס היציאה של התהליך. זה דומה ל
dacs_authenticate(8)[1] ו- dacscred(1)[2].
דאקסאוט מספק דרך לתסריטים ותוכניות אחרות למנף את DACS אימות
תַשׁתִית. הם עשויים להשתמש באימות מוצלח כצורה גסה של
הרשאה; רק משתמש שמספק סיסמה נכונה עשוי להיות מורשה להפעיל את
תוכנית, למשל. או שהם עשויים להחזיר סוג מסוים של אישורים לאחר הצלחה
אימות, או אולי שימוש dacs_auth_agent(8)[3] לחזור DACS אישורים.
דאקסאוט ניתן להשתמש גם כדי לאחזר מידע תפקיד המשויך למשתמש נתון.
דאקסאוט לא קורא אף אחד DACS קבצי תצורה. כל מה שצריך לביצוע הבדיקה
יש לציין כטיעון.
עצה
If דאקסאוט משתמש במודול מובנה כדי לבצע אימות, או לחפש תפקידים, לא
שרת רְכִיב is נדרש. זה אומר שאתה יכול להשתמש דאקסאוט בלי צורך
לגשת או אפילו להגדיר שרת אינטרנט, כולל Apache.
אפשרויות
דגלים של שורת הפקודה הבאים מזוהים. לפחות אחד -m דגל (לביצוע
בדיקת אימות), או לפחות אחת -r יש לציין דגל (כדי ליצור תפקיד
מחרוזת תיאור עבור הזהות והדפיס אותה ל-stdout). שילוב של שני הדגלים הוא
מותר, ובמקרה זה מחרוזת מתאר תפקיד מופקת רק אם מבחן האימות
מצליח.
-Dהוראה=ערך
זה שווה ערך להגדרה הוראה, גנרל DACS הנחיית תצורה, ל
ערך. לראות dacs.conf(5)[4].
-אוקס
המחרוזת הבאה שסופקה על ידי -p, -pf, או -מיידי הדגל יהיה הערך של
עזר ארגומנט אימות. זה מספק דרך בטוחה לעבור רגיש
מידע עזר, כגון PIN, לתוכנית. דגל לקבלת הסיסמה,
אם יש, יש להקדים את הדגל הזה בשורת הפקודה.
-fj שם חבר
השתמש שם חבר, שחייב להיות תקף מבחינה תחבירית, כשם תחום השיפוט. אם נדרש
אך לא מסופק, ייעשה שימוש בערך שנגזר משם הדומיין של המארח.
-פני fedname
השתמש fedname, אשר חייב להיות חוקי מבחינה תחבירית, כשם הפדרציה. אם נדרש
אך לא מסופק, ייעשה שימוש בערך שנגזר משם הדומיין של המארח.
-h
עזרה
הצג הודעת עזרה וצא.
-
אם הצליח, הדפס את המאומת DACS זהות לפלט הסטנדרטי.
-ll log_level
הגדר את רמת הפלט של ניפוי באגים ל log_level (ראה dacs(1)[5]). רמת ברירת המחדל היא
לְהַזהִיר.
-m auth-module-spec
כל סוג של בדיקת אימות שנדרש מתואר על ידי א auth-module-spec
שמיד אחרי ה -m דֶגֶל. כל אחד auth-module-spec הוא בעצם
ייצוג חלופי של א תודה סעיף[6] והנחיותיו, המשמשות את
dacs_authenticate(8)[1]. בדיוק כפי שהסדר שבו מופיעים סעיפי אישור ב-a DACS
קובץ התצורה, הסדר שבו -m דגלים מופיעים עשויים להיות משמעותיים,
תלוי ב לִשְׁלוֹט מילות מפתח. במהלך העיבוד, עוקב -m רכיבים הם
שמות שהוקצו אוטומטית, auth_module_1, auth_module_2 וכן הלאה, בעיקר עבור
מטרות דיווח שגיאות.
An auth-module-spec בעל התחביר הבא:
אל האני מודול מתחיל בשם של מודול מובנה, או בקיצור חוקי
שלו, או כתובת האתר (המוחלטת) של מודול אימות חיצוני (שווה ערך ל
מה היא כתובת האתרהוראה [7]). הבא חייבת להופיע מילת מפתח מוכרת בסגנון אימות
מפרט (שווה ערך ל- סגנוןהוראה [8]). לאחר מכן, ה לִשְׁלוֹט מילת המפתח הבאה,
שזהה ל- בקרה לפני ואחרי הטיפול[9] הנחיה בסעיף ההסמכה. לאחר לִשְׁלוֹט
מילת מפתח, הדגלים המתוארים להלן עשויים להופיע, בכל סדר.
An auth-module-spec מסתיים כאשר הדגל הפסול הראשון (או סוף הדגלים) הוא
נתקל ב.
אל האני -O דגל שווה ערך ל-an אוֹפְּצִיָה[10] הנחיה.
אל האני -שֶׁל דגל מלווה בארגומנט שהוא שם הקובץ שממנו ניתן לקרוא
אפשרויות, אחת בכל שורה, בפורמט שם=ערך. קווים ריקים וקווים שמתחילים ב
מתעלמים מ-'#'; שים לב ששורות אלו אינן מתחילות ב-"-O" והמירכאות הן פשוטות
הועתק ולא פירש. ה -שֶׁל ניתן להשתמש בדגל כדי להימנע מהכנסת סיסמאות
שורת הפקודה ומקלה על כתיבת ביטויים שאחרת היו עושים
להימלט בזהירות כדי למנוע פרשנות על ידי הפגז, למשל.
אל האני -ביטוי דגל שווה ערך ל EXPR[11] הנחיה. ה -vfs דגל רגיל
להגדיר VFS[12] הנחיות הנדרשות על ידי מודול זה.
-מודולים
הצג רשימה של מודולי אימות ומודול תפקידים מובנים, אחד בכל שורה, וכן
ואז לצאת. שם המודול הקנוני מודפס, ואחריו אפס שווה ערך או יותר
קיצורי מילים. עבור מודולי אימות, סגנון האימות מוצג. למנות
המודולים הזמינים, הפעל את הפקודה:
% dacsauth -מודולים
קבוצת מודולי האימות והתפקידים הזמינים (מופעלים) נקבעת
מתי DACS בנוי.
-p סיסמא
ציין את הסיסמה לשימוש (שווה ערך ל- סיסמא ויכוח ל
dacs_authenticate).
אבטחה
סיסמה שניתנה בשורת הפקודה עשויה להיות גלויה למשתמשים אחרים באותו
מערכת.
-pf פילה
קרא את הסיסמה שממנה יש להשתמש פילה (שווה ערך ל- סיסמא ויכוח ל
dacs_authenticate). אם פילה הוא "-", ואז הסיסמה נקראת מהקלט הסטנדרטי
בלי הנחיה.
-מיידי
בקש את הסיסמה וקרא אותה מ-stdin (שווה ערך ל- סיסמא ויכוח ל
dacs_authenticate). הסיסמה אינה מהדהדת.
-q
היה שקט יותר על ידי הפחתת רמת הפלט של ניפוי הבאגים.
-r תפקיד-מודול-מפרט
תפקידים עבור שם משתמש ניתן לקבוע על ידי מתן דגל זה, שהוא מיד
ואחריו א תפקידים-מודול-מפרט. ה -r הדגל עשוי לחזור על עצמו, והתפקידים המתקבלים
משולבים. כל אחד תפקידים-מודול-מפרט הוא בעצם ייצוג חלופי של א
סעיף תפקידים המשמש את dacs_authenticate(8)[13]. רצוף -r רכיבים הם
שמות שהוקצו, roles_module_1, roles_module_2 וכן הלאה, בעיקר לדיווח על שגיאות
מטרות.
A תפקידים-מודול-מפרט בעל התחביר הבא:
אל האני מודול הרכיב שווה ערך לסעיף התפקידים כתובת האתר[14] ההנחיה והיא
או השם של מודול תפקידים מובנה זמין, קיצור חוקי שלו,
או כתובת האתר (המוחלטת) של מודול תפקידים חיצוניים.
דגלים עשויים לעקוב אחר מודול רכיב, בכל סדר. א תפקידים-מודול-מפרט מסתיים מתי
נתקל בדגל הפסול הראשון (או סוף הדגלים).
אל האני -O דגל שווה ערך ל-an אוֹפְּצִיָה[10] הנחיה.
אל האני -שֶׁל דגל מלווה בארגומנט שהוא שם הקובץ שממנו ניתן לקרוא
אפשרויות, אחת בכל שורה, בפורמט שם=ערך. קווים ריקים וקווים שמתחילים ב
מתעלמים מ-'#'; שים לב ששורות אלו אינן מתחילות ב-"-O" והמירכאות הן פשוטות
הועתק ולא פירש. ה -שֶׁל ניתן להשתמש בדגל כדי להימנע מהכנסת סיסמאות
שורת הפקודה ומקלה על כתיבת ביטויים שאחרת היו עושים
להימלט בזהירות כדי למנוע פרשנות על ידי הפגז, למשל.
אל האני -ביטוי דגל שווה ערך ל EXPR[11] הנחיה. ה -vfs דגל רגיל
להגדיר VFS[12] הנחיות הנדרשות על ידי מודול.
-u שם משתמש
משתמש שם משתמש
שם המשתמש שיש לאמת מולו (שווה ערך ל- את USERNAME ויכוח ל
dacs_authenticate). שם משתמש זה משויך באופן מרומז לאפקטיבי
פדרציה ותחום שיפוט (ראה את -פני[15] ו- -fj[16] דגלים).
-v
אל האני -v דגל דוחף את רמת הפלט של ניפוי באגים לניפוי באגים או (אם חוזר) להתחקות.
דוגמאות
אבטחה
If דאקסאוט משתמש במודול מובנה לביצוע אימות, עליו להפעיל setuid or
setgid כדי לקבל הרשאות מספיקות כדי לגשת לקובץ הסיסמה הנדרש (אותו
נכון עבור מודולי תפקידים מובנים). אם הוא משתמש במודול חיצוני, מודול זה יעשה זאת
צריך לבצע עם הרשאות מספיקות לגישה DACS מפתחות קריפטוגרפיים,
במיוחד federation_keys ואולי DACS או קבצי סיסמאות מערכת; החיצוני
לאחר מכן המודול יצטרך להפעיל עם הרשאות מספיקות כדי לגשת לקבצים שהוא
דורש.
הקפד להשתמש ב-federation_keys הנכונים עבור הפדרציה שלך. מפנה
מודולי אימות בשתי פדרציות או יותר כנראה לא יעבדו.
דאקסאוט לכן לא אמור לפעול בדרך כלל כ-UID של המשתמש שמפעיל אותו
(אלא אם זה במקרה שורש) כי הוא לא יוכל לגשת למידע
זה דורש. זה גם ימנע ממשתמש "לרמות" (למשל, על ידי הצמדות ל-
מודול פועל עם מאתר באגים).
דוגמה זו מאמתת משתמש "bobo" עם סיסמה "test" כנגד ה- DACS קובץ סיסמה
/usr/local/dacs/conf/passwd:
% dacsauth -m passwd passwd נדרש
-vfs "[passwds]dacs-kwv-fs:/usr/local/dacs/conf/passwd" -q -u bobo -p test
אם מצב היציאה של הפקודה הוא אפס, בדיקת האימות הצליחה, אחרת
נכשל.
הדוגמה הבאה מנסה לאמת את "bobo" מול קובץ סיסמת ה-Unix שלה. ה
התוכנית מבקשת את הסיסמה.
% dacsauth -m unix passwd נדרש -u bobo -prompt
בדוגמה הבאה, דאקסאוט מנסה לאמת את "bobo" באמצעות NTLM על
winders.example.com:
% dacsauth -m ntlm passwd suff -OSAMBA_SERVER="winders.example.com" -prompt -u bobo
דוגמה זו דומה לקודמתה, מלבד מודול אימות חיצוני
נעשה שימוש והסיסמה נקראת מקובץ. בגלל המודול החיצוני, נוסף
יש לספק תצורה; בפרט, המיקום של federation_keys וה-
יש לציין את שמות הפדרציות והשיפוט.
% dacsauth -m https://example.example.com/cgi-bin/dacs/local_ntlm_authenticate \
passwd enough -OSAMBA_SERVER="winders.example.com" \
-fn דוגמה -fj FEDROOT -u bobo -pf mypass \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/example/federation_keys"
כדי לאמת נגד Google[17] חשבון [מוגן בדוא"ל], אפשר להשתמש ב:
% dacsauth -m http passwd suff \
-OAUTH_URL="https://www.google.com/accounts/ClientLogin" \
-OUSERNAME_PARAMETER=דוא"ל -OPASSWORD_PARAMETER=סיסמה \
-Oservice=xapi -Osource=DSS-DACS-1.4 -prompt -u [מוגן בדוא"ל]
בדוגמה הבאה, ביטוי מוערך כדי לקבוע אם אימות
אמור להצליח. המשתמש ("בובו") מתבקש להזין סיסמה. רק אם המחרוזת "foo" היא
נתון האימות יצליח. דוגמה מציאותית יותר עשויה לקרוא לתוכנית אחרת
לעזור בקבלת ההחלטה, למשל.
% dacsauth -m expr expr suffi \
-expr '${Args::PASSWORD} eq "foo" ? ${Args::USERNAME} : ""' -user bobo -prompt
אימות נגד אפאצ'י htdigest קובץ הסיסמה מתבצע בהמשך
לדוגמה, כאשר הסיסמה נקראת מ-stdin:
% הד "בדיקה" | dacsauth -m apache digest מספיק \
-OAUTH_MODULE=mod_auth_digest \
-OAUTH_FILE=/usr/local/apache2/conf/passwords.digest \
-OAUTH_REALM="אזור אימות תקציר DACS" \
-u bobo -pf -
אימות באמצעות מודול PAM פועל אחרת משאר המודולים - והוא יותר
מסובך לשימוש - כי דאקסאוט ייתכן שיהיה צורך להפעיל מספר פעמים, תלוי מה
מידע ש-PAM דורש. במקום להחזיר החלטת כן/לא, דאקסאוט רשאי להדפיס
מבקש מידע נוסף ל-stdout. אנא עיין בפרטים התפעוליים המוצגים ב
dacs_authenticate(8)[18] ו- pamd(8)[19] לפני ניסיון להשתמש במודול זה.
הדוגמה הבאה מדגימה את השימוש במודול משורת הפקודה. פעם הבסיסית
רעיונות מובנים, זה צריך להיות ברור איך לכתוב תסריט לביצוע
איטרציות הכרחיות. ייתכן שיהיה צורך להתאים את הפרטים בדוגמה, כגון נתיבים
הסביבה שלך. שימו לב שבדוגמה זו שם המשתמש לא מצוין בפעם הראשונה
דאקסאוט מופעל, אם כי זה יכול להיות אם זה היה ידוע.
% dacsauth -m pam הנחיה מספיקה \
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OPAMD_HOST=localhost -OPAMD_PORT=dacs-pamd -fj דוגמה -fn TEST
AUTH_PROMPT_VAR1="התחבר:"
AUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"
% dacsauth -m pam הנחיה מספיקה \
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OAUTH_PROMPT_VAR1="בובו" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
AUTH_PROMPT_VAR2="סיסמה:"
AUTH_TRANSID="10.0.0.124:52188:88417:5ffb0015f21ea546"
% dacsauth -m pam הנחיה מספיקה \
-vfs "[federation_keys]dacs-fs:/usr/local/dacs/federations/dss/federation_keys" \
-OAUTH_PROMPT_VAR2="סיסמה" \
-OAUTH_TRANSID="10.0.0.124:57849:85748:9997c5588a6239e3"-fj EXAMPLE -fn TEST
הפעם הראשונה דאקסאוט מופעלת בדוגמה היא מחזירה הנחיה עבור שם המשתמש
("כניסה:") המשויך למשתנה העסקה AUTH_PROMPT_VAR1 וכן
מזהה עסקה (AUTH_TRANSID). את האחרון יש להעביר לעוקבים
הוצאות להורג של דאקסאוט. הריצה השנייה של דאקסאוט מעביר את שם המשתמש ("בובו") ו
מחזיר בקשה נוספת ("סיסמה:") המשויכת למשתנה העסקה
AUTH_PROMPT_VAR2. הריצה השלישית מעבירה את הסיסמה ("apassword") אך אין הנחיה
חזר, המציין שההפעלה הושלמה ומצב היציאה של התוכנית משקף
התוצאה של האימות.
עצה
אם דאקסאוט דורש סיסמה כדי לאחזר תפקידים תלוי בתפקידים המסוימים
מודול בשימוש. לדוגמה, סיסמה אינה נדרשת על ידי local_unix_roles[20] או
תפקידים_מקומיים[21] להשיג תפקידים, אבל local_ldap_roles[22] כנראה יצטרך א
סיסמה כדי לאגד את הספרייה ולקבל תפקידים.
דוגמה זו מדפיסה את מחרוזת התפקידים עבור המשתמש "bobo" על ידי קריאה למובנה
local_unix_roles[20] מודול:
% dacsauth -r unix -u bobo
בובו, גלגל, www, משתמשים
הדוגמה הבאה דומה לקודמתה, מלבד שימוש במודול תפקידים חיצוניים:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_unix_roles \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn דוגמה -u bobo
בובו, גלגל, www, משתמשים
מודול התפקידים החיצוניים עשוי להתבצע על מארח שונה מזה שפועל
דאקסאוט. מסופק דאקסאוט הותקן וקובץ federation_keys תואם הוא
זמין על המארח המקומי, המארח המקומי לא חייב להיות א DACS סמכות שיפוט או שיש להם
אַחֵר DACS תצורה.
הדוגמה הבאה מדפיסה את תפקיד מחרוזת[23] עבור המשתמש "bobo", הידוע בתוך
ספרייה בשם הנפוץ "Bobo Baggins", באמצעות (חיצוני) local_ldap_roles[22]
מודול ושיטת הקישור ה"ישירה":
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-של /usr/local/dacs/ldap_roles_options_direct -u "Bobo Baggins" \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn דוגמה -fj FEDROOT -הנחיה
DnsAdmins,Print_Operators,Domain_Admins,Administrators
מכיוון שיש יותר מדי דגלים מכדי למקם בקלות ובצורה נכונה בשורת הפקודה, ה
האפשרויות הדרושות לשם כך נקראות מקובץ שצוין על ידי -שֶׁל דגל.
זה גם מספק דרך בטוחה יותר להעביר סיסמאות לתוכנית; להבטיח את הגישה הזו
לקובץ מוגבל כראוי. הקובץ
/usr/local/dacs/ldap_roles_options_direct עשוי להכיל תצורה כגון זו:
LDAP_BIND_METHOD=ישיר
LDAP_ADMIN_URL*="ldap://winders.example.com/CN=" . encode(url,${Args::DACS_USERNAME}) . ",CN=Users,DC=example,DC=com"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" ? strtr(ldap(rdn_attrvalue, \
ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
הדוגמה הבאה היא כמו הדוגמה הקודמת, אלא שהיא משתמשת בכריכה "עקיפה".
שיטה ולכן אין צורך לתת את השם המשותף של המשתמש:
% dacsauth -r https://example.example.com/cgi-bin/dacs/local_ldap_roles \
-Of /usr/local/dacs/ldap_roles_options_indirect -u bobo \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn דוגמה -fj FEDROOT -p bobospassword
DnsAdmins,Print_Operators,Domain_Admins,Administrators
הקובץ /usr/local/dacs/ldap_roles_options_indirect עשוי להכיל תצורה כגון
זֶה:
LDAP_BIND_METHOD=עקיף
LDAP_ADMIN_URL=ldap://winders.example.com/CN=Administrator,CN=Users,DC=example,DC=com
# חפש תחת משתמשים...
LDAP_SEARCH_ROOT_DN=CN=משתמשים,DC=דוגמה,DC=com
LDAP_ADMIN_PASSWORD=TheSecretAdminPassword
LDAP_SEARCH_FILTER*="(sAMAccountName=${Args::DACS_USERNAME})"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" ? strtr(ldap(rdn_attrvalue, \
ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
נניח שאחד רצה להשתמש דאקסאוט לאמת משתמש באמצעות LDAP באופן מקביל ל
תצורת dacs.conf זו:
כתובת אתר "http://example.example.com/cgi-bin/dacs/local_ldap_authenticate"
STYLE "סיסמה, הוסף_תפקידים"
CONTROL "נדרש"
LDAP_BIND_METHOD "ישיר"
LDAP_USERNAME_URL* '"ldap://winders.example.com/cn=" . encode(url, ${Args::USERNAME}) . ",cn=Users,dc=example,dc=local"'
LDAP_USERNAME_EXPR* '"${LDAP::sAMAccountName}"'
LDAP_ROLES_SELECTOR* '"${LDAP::attrname}" eq "memberOf" \
? strtr(ldap(rdn_attrvalue, ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""'
קובץ כזה (לדוגמה, /usr/local/dacs/ldap_auth_options_direct) יכיל את
ההנחיות הבאות:
LDAP_BIND_METHOD=ישיר
LDAP_USERNAME_URL*="ldap://winders.example.com/cn=" . encode(url, ${Args::USERNAME}) . ",cn=Users,dc=example,dc=local"
LDAP_USERNAME_EXPR*="${LDAP::sAMAccountName}"
LDAP_ROLES_SELECTOR*="${LDAP::attrname}" eq "memberOf" \
? strtr(ldap(rdn_attrvalue, ldap(dn_index, "${LDAP::attrvalue}", 1)), " ", "_") : ""
לאחר מכן ניתן לבצע אימות באמצעות פקודה כזו:
% dacsauth -fj FEDROOT -m http://example.example.com/cgi-bin/dacs/local_ldap_authenticate passwd suff \
-של /usr/local/dacs/ldap_auth_options_direct \
-DVFS="[federation_keys]dacs-fs:/usr/local/dacs/federations/federation_keys" \
-fn דוגמה -u bobo -הנחיה
דיאגנוסטיקה
התוכנית יוצאת מ-0 אם האימות הצליח או עם 1 אם האימות נכשל או
התרחשה שגיאה.
השתמש ב-dacsauth באינטרנט באמצעות שירותי onworks.net
