זהו הפקודה dacstoken שניתן להפעיל בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
dacstoken - ניהול סיסמאות חד פעמיות מבוססות hash
תַקצִיר
דקסטוקן [dacsoptions[1]] [-את כל] [-בסיס NUM] [-דֶלְפֵּק NUM] [-ספרות NUM]
[-השבתה | -לְאַפשֵׁר] [-חלון חם NUM] [-דיו סוג פריט]
[[מקש keyval] | [-מפתח-קובץ שם הקובץ] | [-הנחיית מפתח]] [-מצב מצב otp]
[-מפתחות סוג פריט]
[[פינים pinval] | [-pin-file שם הקובץ] | [-pin-prompt]] [-אילוצים פינים str]
[-רנד] [-זֶרַע str] [-סידורי str] [-טוטפ-דלתא NUM] [-טופ-סחף nwindows]
[-טוטפ-האש ALG]
[-טופ-זמן שניות] [-vfs vfs_uri] [אופ-מפרט] [שם משתמש]
תיאור
תוכנית זו היא חלק מ- DACS סוויטה.
אל האני דקסטוקן כלי השירות מנהל DACS חשבונות המשויכים לסיסמה חד פעמית (OTP)
התקני יצירה (אסימונים) או לקוחות מבוססי תוכנה. באמצעות אפשרויות שורת הפקודה, זה גם
מחשב ערכי OTP; ניתן לעקוף פרמטרים של חשבון אסימון, אך חשבונות אינם זוגיים
נדרש.
ניתן לספק אימות דו-גורמי חזק כאשר dacs_authenticate[2] מוגדר
להשתמש local_token_authenticate[3] מודול אימות או מתי דקסטוקן משמש כ
תוכנית עצמאית לאימות סיסמאות. גם מצב הסיסמה החד פעמית מבוסס HMAC
(HOTP), מבוסס על מונה אירועים ומצוין על ידי RFC 4226[4], והמבוסס על זמן
מצב סיסמה חד פעמית (TOTP), כפי שצוין על ידי האחרון IETF טיוטת אינטרנט[5] הצעה,
נתמכים. נוסף מבצעי מצבי[6] נקרא OCRA (שְׁבוּעָה תגובת אתגר
אלגוריתמים), המתוארים ב-IETF Internet-Draft, אינם נתמכים עדיין במלואם.
הערות
גרסה זו של דקסטוקן משלב שינויים רבים שאינם תואמים לאחור
עם גרסה 1.4.24a ואילך. כמה דגלים של שורת הפקודה פועלים אחרת, ו
הפורמט של קובץ החשבון השתנה. אם השתמשת בפקודה זו בעבר
מהדורות, אנא צור עותק גיבוי של קובץ חשבון האסימון שלך ועיין במדריך זה
עמוד בזהירות לפני שתמשיך (שים לב ל -להמיר דגל[7] במיוחד).
חָשׁוּב
לא נדרשת תוכנה שסופקה על ידי הספק על ידי דקסטוקן לספק את הפונקציונליות שלו. ה
מכשירים הנתמכים כעת אינם זקוקים לאינטראקציה כלשהי של רישום או תצורה
עם ספקים ו דקסטוקן עושה לֹא אינטראקציה עם של ספקים שרתים or להשתמש כל
קניינית תוֹכנָה. ייתכן שתידרש תוכנה המסופקת על ידי הספק לביצוע
אתחול או תצורה עבור התקני אסימון אחרים, עם זאת, ו דקסטוקן עושה
לא לספק להם תמיכה כזו.
כל מכשיר אסימון תואם בדרך כלל בדיוק לחשבון אחד המנוהל על ידי
דקסטוקן, למרות שחלק מהספקים מייצרים אסימונים שיכולים לתמוך במספר חשבונות.
לסיכום, כלי השירות הזה:
· יוצר ומנהל DACS חשבונות המשויכים ל-counter-based ומבוסס-זמן
סיסמאות חד פעמיות
· מספק פונקציונליות אימות ובדיקה
· מספק יכולת אימות שורת פקודה
אבטחה
רק ה DACS מנהל המערכת אמור להיות מסוגל להפעיל בהצלחה את התוכנית הזו מ-
שורת הפקודה. כי DACS מפתחות וקבצי תצורה, כולל הקובץ שנהג
חשבונות חנות, חייבים להיות מוגבלים למנהל המערכת, זה יהיה בדרך כלל
במקרה, אבל מנהל זהיר יגדיר הרשאות קובץ כדי למנוע גישה לכולם
משתמשים אחרים.
הערות
אל האני dacs_token(8)[8] שירות האינטרנט מספק למשתמשים שירות עצמי מוגבל
פונקציונליות להגדיר או לאפס את ה-PIN של החשבון שלהם ולסנכרן את האסימון שלהם. זה גם
יש מצב הדגמה כדי לפשט בדיקה והערכה.
מספרי PIN (חֶשְׁבּוֹן סיסמאות)
A דקסטוקן החשבון יכול לכלול מספר PIN (כלומר, סיסמה) המשויך אליו. ל
לאמת מול חשבון כזה, משתמש חייב לספק את הסיסמה החד-פעמית שהופקה
לפי האסימון ו הסיכה. ה TOKEN_REQUIRES_PIN[9] הוראת התצורה קובעת
האם יש לספק PIN בעת יצירה או ייבוא של חשבון; זה לא חל ב
בשילוב עם ה -דלפין דגל, מכיוון שרק מנהל מערכת אמור להיות מסוגל לבצע
הפונקציה הזו.
גיבוב של ה-PIN מאוחסן ברשומת החשבון ולא ה-PIN עצמו. אותו הדבר
שיטה בשימוש על ידי dacspasswd(1)[10] ו- dacs_passwd(8)[11] מיושם, ותלוי ב
PASSWORD_DIGEST[12] ו- PASSWORD_SALT_PREFIX[13] הנחיות בתוקף. אם
PASSWORD_DIGEST[12] מוגדר, האלגוריתם הזה משמש, אחרת זמן הידור
נעשה שימוש בברירת המחדל (SHA1). אם משתמש שוכח את ה-PIN, לא ניתן לשחזר את ה-PIN
יש למחוק או להגדיר חדש.
לחלק מהמכשירים האסימונים יש יכולת PIN מובנית בתוכם. המשתמש חייב להזין קוד PIN
המכשיר שלפני המכשיר ישדר סיסמה חד פעמית. "PIN של מכשיר" זה הוא
שונה לחלוטין מה-PIN של החשבון המנוהל על ידי דקסטוקן, והמדריך הזה הוא
עוסק רק ב דקסטוקן פִּין. יש להשתמש תמיד ב-PIN של המכשיר כשאפשר;
מה היא דקסטוקן קוד PIN מומלץ מאוד והוא נדרש לאימות דו-גורמי
(אלא אם גורם אימות נוסף מוחל בדרך אחרת).
מכיוון שרק המנהל רשאי להפעיל פקודה זו, לא מוטלות הגבלות
על אורך או איכות ה-PIN שהמנהל מספק; הודעת אזהרה
ייפלט, עם זאת, אם הסיסמה נחשבת חלשה כפי שנקבע על ידי
PASSWORD_CONSTRAINTS[14] הנחיה.
פעם אחת סיסמאות
שני הסוגים של מכשירי סיסמה חד-פעמיים מחשבים ערך סיסמה על ידי שימוש במכשיר מאובטח
אלגוריתם hash keyed (RFC 2104[15], FIPS 198[16]). בשיטה מבוססת נגד, המכשיר
ושרת חולקים מפתח סודי וערך מונה אשר עוברים גיבוב כדי להניב מספרי
ערך המוצג ברדיוס מסוים עם מספר מסוים של ספרות. מוּצלָח
האימות דורש מהמכשיר ומהשרת לחשב סיסמאות תואמות. בכל פעם ה
המכשיר מייצר סיסמה, הוא מגדיל את המונה שלו. כאשר השרת מקבל התאמה
סיסמה, היא מגדילה את המונה שלה. כי זה אפשרי ששני המונים יהפכו
לא מסונכרן, אלגוריתם ההתאמה של השרת יאפשר בדרך כלל סיסמה של לקוח
ליפול בתוך "חלון" של ערכי מונה. השיטה מבוססת הזמן דומה, העיקרית
ההבדל הוא שזמן יוניקס הנוכחי (כפי שהוחזר על ידי זמן(3)[17], למשל) הוא
משמש להקמת "חלון צעדי זמן" המשמש כערך נגדי בחישוב
של ה-hash המאובטח. כי ייתכן ששעוני זמן אמת במכשיר ובשרת לא
מסונכרן מספיק, אלגוריתם ההתאמה של השרת חייב לאפשר גם של לקוח
הסיסמה תיפול בתוך מספר מסוים של חלונות של צעדי זמן עבור מכשירים אלה.
אבטחה
לאסימון ניתן להקצות מפתח סודי קבוע (לפעמים נקרא זרע OTP) על ידיו
יצרן או המפתח עשוי להיות ניתן לתכנות. המפתח הסודי הזה משמש את האסימון
הליך יצירת סיסמאות וחיוני שהוא יישאר פרטי. אם האסימון
אינו ניתן לתכנות, המפתח מתקבל מהספק (עבור אסימון HOTP, בדרך כלל
על ידי מתן המספר הסידורי של המכשיר וכל שלוש סיסמאות רצופות). הקלטה
של כל מיפוי ממספר סידורי למפתח סודי יש לשמור במקום מאובטח.
אם המפתח הסודי ניתן לתכנות, כפי שהוא עשוי להיות עם לקוח תוכנה, הוא כן
נדרש להיות לפחות 128 ביטים באורך; מינימום של 160 ביטים מומלץ. ה
המפתח מיוצג על ידי מחרוזת הקסדצימלית באורך 16 (או יותר). המפתח צריך
להשיג ממקור באיכות קריפטוגרפית של ביטים אקראיים. ייתכן שחלק מהלקוחות יהיו כאלה
מסוגל ליצור מפתח מתאים, אבל אתה יכול להשתמש dacsexpr(1)[18]:
% dacsexpr -e "random(string, 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"
עצה
ניתן להשתמש באסימונים למטרות אימות מלבד כניסה למחשב. ל
לדוגמה, על ידי מתן מספר חשבון, PIN וערך סמלי, לקוחות יכולים במהירות
להיות מאומת בטלפון, להפחית או לבטל את הצורך יקר ו
שאלות אבטחה גוזלות זמן.
להתקנים ויישומים עם סיסמה חד פעמית יש את הפרמטרים התפעוליים הבאים.
פרמטרים אלה קובעים את רצף הסיסמאות שנוצר. חלקם מבצעיים
פרמטרים עשויים להיות קבועים (לפי התקן הרלוונטי או עקב היישום), בעוד
אחרים עשויים להיות ניתנים להגדרה חלקית או מלאה על ידי המשתמש. אנא עיין ב
הפניות ותיעוד יצרנים לפרטים.
בסיס
הרדיוס שבו מוצגות סיסמאות.
נגד
עבור מצב HOTP בלבד, ערך המונה הנוכחי.
ספרות
מספר הספרות בכל סיסמה חד פעמית.
מפתח
המפתח הסודי (זרע OTP).
מספר סידורי
מזהה או שם ייחודי למכשיר.
גודל צעד זמן
עבור מצב TOTP בלבד, הרוחב של כל מרווח זמן, בשניות. אותה סיסמה
יווצר בתוך מרווח נתון; כלומר, זהו "משך החיים" או התוקף
תקופה של כל סיסמת TOTP.
בנוסף לפרמטרים אלו, דקסטוקן מעסיק כמה לחשבון (כלומר, לכל מכשיר)
פרמטרים:
קבלת-חלון
בעת אימות סיסמת HOTP, המספר המרבי של סיסמאות שיש לקחת בחשבון לאחר ה
סיסמה צפויה.
להסחף
עבור מצב TOTP בלבד, מספר השניות שבהן יש לכוונן את השעון של השרת
קדימה או אחורה כדי לסנכרן אותו טוב יותר עם המכשיר. זה רגיל
לפצות על אסימונים או תוכנת לקוח שהשעונים שלהם אינם מסונכרנים היטב
של השרת.
חלון סחף
עבור מצב TOTP בלבד, אך בדומה לחלון האישור, המספר המרבי של
מרווחים (כל אחד מגודל צעדי הזמן) לחיפוש קדימה ואחורה בעת אימות
כנגד סיסמה נתונה.
sync-otps
עבור מצב HOTP בלבד, מספר הסיסמאות החד-פעמיות הרצופות הנדרשות
לסנכרן את החשבון עם המכשיר.
שם משתמש
השם של DACS חשבון המחובר למכשיר.
לאימות המבוססת על התקני סיסמה חד-פעמית יש את היתרונות הבאים:
· בכל פעם שמשתמש מאמת, תיווצר סיסמה אחרת (עם גבוה
הִסתַבְּרוּת); לכן משתמשים לא יכולים לרשום את "הסיסמה" מכיוון שהסיסמה כן
תמיד משתנה; משתמשים לא יכולים לשכוח את הסיסמה שלהם;
· לאחר השימוש, סיסמת מצב HOTP "נצרכת" מיד ולא סביר שתשתמש בה
שוב במשך זמן רב; עם פרמטרי תצורה מתאימים, סיסמת מצב TOTP
"יפוג" אוטומטית תוך מרווח זמן קצר יחסית וסביר להניח שלא יהיה
השתמשו שוב במשך זמן רב;
· אם לא נדרש תיקון לסחיפת שעון, חשבון במצב TOTP יכול להיות לקריאה בלבד
מבצע;
· מכיוון שהסיסמה לא צפויה להיות מספר או מחרוזת שניתן לנחש בקלות, היא צריכה לעשות זאת
להיות חזק יותר מרוב הסיסמאות שנבחרו על ידי המשתמש;
· אסימון HOTP יכול להיות הבסיס לשיטת אימות הדדי ("דו-כיווני"); ה
השרת מציג למשתמש את הסיסמה הבאה של האסימון שלו כדי לאשר את זהותו (עם שניהם
הצדדים מקדמים את המונים שלהם), ואז הלקוח מראה לשרת את הסיסמה הבאה
לאשר את זהותו;
· במקרה של התקנת מפתח סניפר במחשב של המשתמש, סיסמה סניפית לא עושה זאת
לעשות טוב לתוקף אלא אם כן א איש באמצע לתקוף[19] אפשרי; נָתוּן N
סיסמאות עוקבות עדיין קשה מאוד לחשב סיסמה N + 1 לְלֹא
הכרת המפתח הסודי;
· למשתמשים קשה יותר לשתף חשבון (למרות שמשתמשים עשויים לפעמים
לראות בכך אי נוחות);
· אם דקסטוקן PIN מוקצה לחשבון ותוקף משיג את החשבון
אסימון, עדיין קשה לתוקף לבצע אימות מבלי לדעת את ה-PIN;
· דרך מהירה ויעילה מיידית להשבית חשבון היא פשוט באמצעות תפיסת א
אסימון חומרה (למשל, אם עובד פוטר), אם כי ניתן להשבית חשבון על ידי
תוכנית זו או באמצעות - ביטול רשימה[20];
· במקרה של לקוח תוכנה הפועל על מכשיר נייד, כגון טלפון או מחשב כף יד,
משתמשים כבר נושאים איתם את המכשיר; לקוחות בחינם זמינים, אז יש
עשויה להיות ללא עלות נוספת (שים לב שמכשירים ניידים עשויים שלא להציע את אותו הדבר
עמידות בפני חבלה, עמידות, סודיות מפתח, דיוק שעון וכו' של אסימון חומרה).
למכשירי סיסמה חד-פעמית יש את החסרונות הפוטנציאליים הבאים:
· ישנה הוצאה חד פעמית עבור אסימון חומרה (בהתאם לנפח הרכישה,
אתה יכול לצפות לשלם $10-$100 דולר כל אחד), וקיימת אפשרות שתצטרך
החלף אסימון שאבד או שבור, או סוללה של אסימון (לחלק מהיחידות יש א
סוללה שאינה ניתנת להחלפה, מה שהופך אותם חד פעמיים לאחר מספר שנים);
· התצורה הראשונית היא קצת יותר קשה מאשר עם אימות אחר
שיטות, ומשתמשים שאינם מכירים את המכשירים יצטרכו לקבל הנחיות לגביהם
להשתמש;
· למרות שהם בדרך כלל די קטנים (למשל, 5 ס"מ x 2 ס"מ x 1 ס"מ) וניתן לחבר אותם
מחזיק מפתחות או שרוך, או שמורים בארנק, משתמשים עלולים להתכווץ כשהם צריכים לשאת אסימון
מסביב איתם;
· משתמשים יכולים לשכוח לקבל את האסימון שלהם או לאבד את האסימון;
· מכשיר נייד (עם לקוח תוכנה) הוא כנראה יעד סביר לגניבה, יותר
אז מאשר אסימון חומרה (ומכאן החשיבות הנוספת של PIN עבור מכשיר זה);
· שלא כמו אסימון חומרה שבו המפתח נצרב לבלתי נגיש, עמיד בפני חבלה
זיכרון, המפתח שהוגדר לתוך לקוח תוכנה עשוי להיות קריא על ידיו
בעלים, מה שהופך את שיתוף החשבון לאפשרי;
· הזנת ערך ראשוני של 40 תווים או יותר למכשיר נייד עלולה להיות מתסכלת
ונוטה לטעות;
· ברגע שהתקן TOTP יוצר סיסמה, לא ניתן ליצור סיסמה חדשה עד ל
חלון שלב הזמן הבא, המחייב את המשתמש להמתין 30 (או אולי 60) שניות (למשל,
אם נעשתה שגיאת הזנה);
· חלק מהמכשירים קשים לקריאה בתנאי תאורה חלשה; משתמשים פרסביופיים וכאלה
עם ראייה לקויה עלולים להתקשות בקריאת התצוגה.
חשבונות
החשבונות המנוהלים על ידי דקסטוקן נפרדים לחלוטין מהחשבונות שבהם משתמשים
local_passwd_authenticate[21] או כל אחר DACS מודול אימות.
ניתן לשלב חשבונות עבור התקני HOTP ו-TOTP או לשמור בנפרד. אם הווירטואלי
סוג פריט filestore auth_hotp_token מוגדר, הוא משמש רק לחשבונות המשויכים
עם אסימוני HOTP. באופן דומה, אם סוג פריט מאגר הקבצים הווירטואלי auth_totp_token הוא
מוגדר, הוא משמש רק עבור חשבונות המשויכים לאסימוני TOTP. אם אחד מסוגי הפריט הוא
לא מוגדר, הגישה לחשבונות מתבצעת דרך של DACS חנות קבצים וירטואלית באמצעות סוג פריט
auth_token. ההנחה היא שהרשאות הקבצים בבסיסי הנתונים של החשבונות הן כאלה שכל
הגישה מוגבלת למנהל ו local_token_authenticate.
אם חשבונות עבור שני סוגי המכשירים הם משולב, כי כל שם משתמש עבור an
שיטת האימות חייבת להיות ייחודית, אם לאדם יש את שני סוגי האסימון עליו
יוקצו שמות משתמש שונים. כך, למשל, אם לאוג'י יש אסימון HOTP אחד ואחד
אסימון TOTP, הראשון עשוי להתאים לשם המשתמש auggie-hotp והשני לשם
auggie-totp; טופס הכניסה עשוי לכלול קלט במצב מכשיר שיאפשר את Auggie
פשוט להקליד "auggie" בשדה שם המשתמש ו-JavaScript כדי להוסיף אוטומטית את
סיומת מתאימה בהתבסס על מצב המכשיר הנבחר. חיסרון ברור של זה
התצורה היא שזה מביא לשניים שונים DACS זהויות לאותו אדם;
צריך לזכור את זה אם צריך כלל בקרת גישה כדי לזהות את אוגי
בִּמְפוּרָשׁ. אם שני האסימונים צריכים למפות לאותו דבר DACS זהות, סעיף ההסמכה יכול
להסיר את הסיומת לאחר אימות מוצלח, אבל המנהל יעשה זאת
צריך להיזהר מהמקרה של שני Auggies שונים, כל אחד משתמש בסוג מכשיר אחר.
קביעת תצורה של סוגי הפריטים auth_hotp_token ו-auth_totp_token (או רק אחד מהם
ו-auth_token) שומרים על החשבונות נפרדים ומאפשרים להשתמש באותו שם משתמש עבורו
שני סוגי המכשירים. לכן, לאוג'י יכול להיות רישום חשבון עם אותו הדבר
שם משתמש עבור שני סוגי המכשירים. גישה זו מחייבת לציין את מצב המכשיר
כאשר מתבקשת פעולה כדי שניתן יהיה להשתמש בסוג הפריט הנכון; זה אומר ש
המשתמשים חייבים לדעת באיזה סוג מכשיר הם משתמשים (אולי על ידי הצמדת תווית אליו).
עיין בפרטים חשובים לגבי DACS זהויות[22].
אל האני -vfs משמש כדי להגדיר או להגדיר מחדש את סוג הפריט auth_token.
רק מפתחות העומדים בדרישת אורך המפתח המינימלי (16 בייטים) ניתן לאחסן עם
פרטי חשבון (למשל, עם -מַעֲרֶכֶת or -יְבוּא). בהקשרים אחרים, הדרישה היא
לא נאכף.
המפתח הסודי מוצפן על ידי דקסטוקן כאשר הוא נכתב לקובץ החשבון. ה
סוג פריט מאגר קבצים וירטואלי auth_token_keys מזהה את מפתחות ההצפנה עבור דקסטוקן
להשתמש; ה -דיו ו -מפתחות דגלים מציינים חלופות (ראה דאקסקי(1)[23]). אם ה
מפתחות הצפנה אובדים, המפתחות הסודיים כמעט בלתי ניתנים לשחזור.
חָשׁוּב
אם תוקף מגלה מפתח סודי, יוצר סיסמאות שמישות מבלי להחזיק
האסימון לא יהיה קשה. לפחות עבור כמה אסימוני חומרה, המפתח נשרף
נכנס למכשיר ולא ניתן לשנותו; במקרה זה, אם המפתח דלף המכשיר
צריך להיהרס. אם אסימון אובד, יש להשבית את החשבון המתאים.
במקרה שתוקף מוצא אסימון אבוד או מגלה מפתח סודי, בעל חזקה
PIN המשויך לחשבון יקשה על התוקף להשיג
גישה אליו.
חָשׁוּב
· שיטת אימות זו נבדקה מול מוצרי ה-OTP הבאים:
· Authenex מפתח 3600[24] קוד חומרה של סיסמה חד פעמית (HOTP);
· פייטיאן טכנולוגיות[25] חומרת סיסמאות חד פעמיות של OTP C100 ו-OTP C200
אסימונים, מסופקים על ידי HyperSecu מֵידָע מערכות[26]; ו
· שְׁבוּעָה אסימון[27] יישום תוכנה מאת Archie Cobbs, המיישם את שניהם
HOTP ו-TOTP על iPod לגעת, ה-iPhone, ו iPad[28].
· Feitian Technologies iOATH לייט[29] יישום תוכנת HOTP עבור ה-iPod
מגע, אייפון ואייפד.
יצרנים אחרים המעוניינים שהמוצרים שלהם יתמכו על ידי DACS יש לו
מוזמן ליצור קשר עם Dss.
· תמונה[30]: Feitian OTP C200, iPod Touch עם אפליקציית OATH Token, Authenex A-Key
3600 (בכיוון השעון משמאל למעלה)
· למרות שיישום זה אמור לעבוד עם מוצרים דומים, תואמים, בלבד
מוצרים אלה נתמכים רשמית על ידי DACS.
· ניתן לרכוש אסימוני חומרה ישירות מהספקים.
· כל בעיה בשימוש באסימונים לאימות דרך DACS אינם ה
אחריות של ספק האסימון.
יבוא ו יצוא OTP חשבונות
ניתן לטעון או לזרוק תיאורים של חשבונות והאסימונים שלהם (עיין ב- -יְבוּא
ו -יְצוּא דגלים). זה מפשט את ההקצאה, הגיבוי והניוד בכמות גדולה. ה
פרטי החשבון כתובים בפורמט XML פשוט, ספציפי ליישום (כמעט).
הפורמט מובן על ידי דקסטוקן מורכב מאלמנט שורש ("otp_tokens"), ואחריו
אפס או יותר רכיבי "otp_token", אחד בכל שורה, כל אחד עם חובה ואופציונלי
תכונות (מתואר להלן). יש להשמיט את הצהרת ה-XML. רווח לבן מוביל ו
מתעלמים משורות ריקות, וכך גם הערות XML בשורה אחת. בנוסף, שורות עם "#"
בתור התו הראשון שאינו רווח לבן מתעלמים. תכונות אופציונליות שלא
להווה מוקצים ערכי ברירת מחדל. אלגוריתם התקציר המוגדר כברירת מחדל הוא SHA1. תכונה קצרה
משתמשים בשמות כדי לחסוך במקום. תכונות לא מוכרות, ותכונות שאינן רלוונטיות ל-
מצב מכשיר, מתעלמים. תווי מרכאות בודדות או כפולות (או שניהם) בתוך תכונת XML
יש להחליף את הערכים בהפניה המתאימה לישות ("'" ו-""",
בהתאמה), וכך גם התווים "<" (פחות מ) ו-"&" (אמפרסנד). A ">" (גדול יותר
התו than) יכול להיות מוחלף באופן אופציונלי ברצף ">", אך ללא ישות אחרת
הפניות מוכרות.
תכונות מוכרות הן:
· ב:
בסיס
-- רדיוס עבור ערך OTP
[אופציונאלי:
10 (ברירת מחדל),
16, או 32]
· ג:
נגד
-- ערך מונה נוכחי עבור HOTP, בהקסדה אם קודם
ב-"0x" (או "0X"), עשרוני אחרת
[אופציונאלי:
ברירת המחדל היא 0]
· ד:
OTP מכשיר מצב
-- "c" (עבור HOTP)
או "t" (עבור TOTP)
[נדרש]
· dn:
עיכול-שם
-- אחד מאלגוריתמי ה-Secure Hash
[אופציונאלי:
SHA1 (ברירת מחדל),
SHA224, SHA256,
SHA384, SHA512]
· ד"ר:
סחף שעון
-- התאמת שעון, בשניות, עבור TOTP
[אופציונאלי]
· ek:
מפתח מוצפן
-- מפתח סודי מוצפן, מקודד בסיס-64
[נדרש:
רשומות חשבון OTP בלבד]
· iw:
מצב מופעל
-- 1 עבור מופעלים,
0 לנכים
[נדרש]
· ק:
מפתח טקסט רגיל
-- מפתח סודי לא מוצפן
[נדרש]
· לו:
העדכון אחרון
- זמן יוניקס של עדכון הרשומה האחרון
[אופציונלי: ברירת המחדל היא השעה הנוכחית]
· nd:
ndigits
-- מספר ספרות עבור ערך OTP
[אופציונאלי:
ברירת המחדל היא 6 עבור HOTP,
8 עבור TOTP]
· p:
טקסט רגיל-PIN
-- ערך PIN בטקסט רגיל עבור החשבון
[נדרש:
אלא אם כן ph קיים,
לייבוא בלבד]
· ph:
PIN hashed
-- ערך PIN מגובב עבור החשבון
[אופציונאלי:
נוצר באמצעות דקסטוקן
עבור ייצוא וקובצי חשבון OTP בלבד]
· s:
מספר סידורי
-- מחרוזת מזהה ייחודית עבור המכשיר
[נדרש]
· ts:
שלב-זמן
-- ערך שלב-זמן, בשניות, עבור TOTP
[אופציונאלי:
ברירת המחדל היא 30]
· אתה:
שם משתמש
-- תקף DACS שם משתמש המשויך לחשבון זה
[נדרש]
הדוגמה הבאה מתארת שני חשבונות שעשויים להיווצר באמצעות -יְבוּא style you
אבטחה
מכיוון שרשומות מיובאות כוללות את המפתחות הסודיים הלא מוצפנים עבור התקני ה-OTP, ה-
הקובץ המיוצא צריך להישמר מוצפן (למשל, באמצעות OpenSSL) או לפחות יש
הרשאות קובץ מתאימות.
הערות
פורמט סטנדרטי להקצאת מכשירי OTP נמצא בפיתוח. הפורמט הזה עשוי להיות
מובן על ידי גרסה עתידית של דקסטוקן, או עשוי להיכתב כלי המרה.
הפורמט הסטנדרטי עשוי להיות מורכב בהרבה מהפורמט DACS פורמט.
אפשרויות
בנוסף לתקן dacsoptions[1], רשימה ארוכה של דגלי שורת הפקודה הם
מוּכָּר. כש שם משתמש נתון, ערכי ברירת המחדל המשויכים לחשבון זה הם
נעשה שימוש, ברירת מחדל מומלצת אחרת או ספציפית ליישום. ברירת מחדל אלה
בדרך כלל ניתן לעקוף ערכים בשורת הפקודה. דגלים מסוימים מותרים רק עם א
מצב אסימון מסוים (למשל, -דֶלְפֵּק, -טופ-הצג) והמראה שלהם מרמז על המצב הזה,
עושה את -מצב דגל מיותר; דגלים אחרים אינם תלויי מצב (למשל, -לִמְחוֹק,
-לְאַפשֵׁר). זו שגיאה להשתמש בשילוב דגל שאינו תואם הדדית. דגלים שכן
חסר משמעות עם הפעולה שנבחרה מתעלמים, למרות שהם עדיין מרמזים על מצב.
ערכים הקסדצימליים אינם תלויי רישיות. אם נדרש ערך מונה אך לא צוין
(למשל, בעת יצירת חשבון), נעשה שימוש בערך מונה התחלתי של אפס.
אל האני אופ-מפרט מציין את הפעולה שיש לבצע, יחד עם אפס או יותר מתקן
דגלים. אם אופ-מפרט חסר, ה -רשימה הפעולה מתבצעת. א אופ-מפרט היא אחת
הבא:
-auth otp-value
הדגל הזה הוא כמו -לְאַמֵת[31], למעט:
· א שם משתמש נדרש, שממנו מתקבלים כל הפרמטרים (כגון המפתח);
· אם לחשבון יש PIN, יש לספק אותו;
· אם החשבון הוא עבור אסימון HOTP, המונה יתעדכן אם יבוצע אימות
מצליח.
מצב יציאה של אפס מציין אימות מוצלח, בעוד כל ערך אחר
פירושו שהאימות נכשל.
-להמיר שם הקובץ
טען קובץ חשבון אסימון בפורמט ישן יותר (לפני גרסה 1.4.25). שם הקובץ ("-"
פירושו לקרוא מ-stdin), להמיר אותו לפורמט החדש יותר, ולכתוב אותו ל-stdout (as
by -יְצוּא). הדגל הזה הוצא משימוש והיכולת הזו תוסר בעתיד
שחרור של DACS.
-לִיצוֹר
צור חשבון עבור שם משתמש, שאסור להתקיים כבר. מבחינות אחרות זה
עובד כמו -מַעֲרֶכֶת[32]. בעת יצירת חשבון חדש, -סידורי נדרש ו מקש is
מְרוּמָז. אם לא -לְאַפשֵׁר הדגל מסופק בעת יצירת חשבון, -השבתה משתמע.
אם לא -דֶלְפֵּק מסופק הדגל, נעשה שימוש ברירת מחדל של אפס. אם אחד מדגלי ה-PIN הוא
קיים, ה-PIN הנתון יוקצה לחשבון, אחרת החשבון לא
יש PIN (או שה-PIN הקיים לא ישתנה).
-נוֹכְחִי
הצג את גורם התנועה הנוכחי (כלומר, ערך המונה עבור HOTP או המרווח
ערך עבור TOTP) ו-OTP צפוי עבור שם משתמש. עבור HOTP, המונה מתקדם. את כל
הפרמטרים נלקחים מהחשבון.
-לִמְחוֹק
מחק את החשבון עבור שם משתמש. המפתח הסודי של המכשיר ועוד תפעולי
הפרמטרים יאבדו.
-דלפין
מחק את ה-PIN, אם קיים, בחשבון עבור שם משתמש, יציאה מהחשבון ללא א
פִּין.
-יְצוּא
כתוב מידע על כל החשבונות, או רק חשבון אחד אם שם משתמש ניתן, ל
stdout. עם זאת, אם נבחר מצב, רק חשבונות שיש להם מצב זה יהיו
כתוב. מידע זה עשוי להיטען מחדש באמצעות -יְבוּא or -יבוא-החלף. הפלט
צריך להיות מאוחסן בצורה מוצפנת, או לכל הפחות לקבל את הרשאות הקובץ שלו
להגדיר כראוי. לדוגמה:
% dacstoken -uj EXAMPLE -יצוא | openssl enc -aes-256-cbc > dacstoken-exported.enc
מאוחר יותר, אולי תעשה משהו כמו:
% openssl enc -d -aes-256-cbc < dacstoken-exported.enc | dacstoken -uj דוגמה -ייבוא -
-h
עזרה
הצג הודעת עזרה וצא.
-הוט-מופע NUM
לְהַצִיג NUM סיסמאות HOTP עוקבות מערך מונה ומפתח נתון. ה
-דֶלְפֵּק ניתן להשתמש בדגל כדי לציין ערך מונה ראשוני. המפתח יכול להיות
שצוין באמצעות מקש, -מפתח-קובץ, או -הנחיית מפתח. אם שם משתמש מסופק, ה
ערך המונה הראשוני והמפתח מתקבלים מחשבון ה-HOTP של המשתמש, אלא אם אחד מהם
הערך מוחלף בשורת הפקודה; ערך המונה המאוחסן של החשבון אינו
שונה. זה נועד בעיקר למטרות ניפוי באגים.
-יְבוּא שם הקובץ
-יבוא-החלף שם הקובץ
טען מידע על חשבון ואסימון מ שם הקובץ; אם שם הקובץ הוא "-", סטדין נקרא.
אם נבחר מצב, רק חשבונות שיש להם מצב זה ייקראו. עם -יְבוּא זה
שגיאה אם כבר קיים חשבון מיובא והעיבוד נעצר; -יבוא-החלף
יחליף חשבון קיים בנתונים מיובאים.
-l
-רשימה
-ארוך
If שם משתמש מסופק, להציג מידע על החשבון המתאים; אם ה
-סידורי נתון הדגל, הצג מידע על החשבון עם הסידורי שצוין
מספר; אחרת רשום את כל החשבונות. אם ה -מצב הדגל ניתן בכל אחד מהמקרים הללו,
עם זאת, רשום רק את החשבונות שיש להם את מצב הפעולה שצוין. אם זה
הדגל חוזר על עצמו, או עם ה -ארוך דגל, פרטים נוספים מוצגים: סוג מכשיר,
מצב חשבון, מספר סידורי מכשיר, ערך מונה (עבור HOTP), ערך סחיפת שעון (עבור
TOTP), בין אם לחשבון יש PIN או לא (מסומן בסמל "+" או "-"), וכן
השעה והתאריך של השינוי האחרון בחשבון.
-שנה שם משתמש חדש
שנה את שם החשבון הקיים עבור שם משתמש להיות משתמש חדש, ושנה את החדש
חשבון באמצעות ארגומנטים של שורת הפקודה (כמו עם -מַעֲרֶכֶת[32]). מכיוון שזה דורש שני שלבים
שאינם נעשים בצורה אטומית, אם מתרחשת שגיאה, ייתכן שהחשבון החדש יעשה זאת
ליצור והחשבון הישן עדיין קיים.
-מַעֲרֶכֶת
אל האני -מַעֲרֶכֶת הדגל משמש לשינוי החשבון הקיים עבור שם משתמש מבוסס על אחד או יותר
ארגומנטים משנה (-בסיס, -דֶלְפֵּק, -ספרות, -השבתה or -לְאַפשֵׁר, מקש (אוֹ -מפתח-קובץ
or -הנחיית מפתח), פינים (אוֹ -pin-file or -pin-prompt), או -סידורי). המצב יכול להיות גם
שונה על ידי ציון -מצב, אבל פרמטרים ספציפיים למצב המשויכים לחשבון
יאבד (למשל, ערך המונה הנוכחי יימחק אם יש חשבון HOTP
שונה לחשבון TOTP) ופרמטרים כלליים (כגון המספר הסידורי) יהיו
נשמר אלא אם כן נדחק בשורת הפקודה.
-סינכרון רשימת סיסמאות
במצב HOTP, זה מנסה לסנכרן את השרת עם האסימון עבור שם משתמש. ה
רשימת סיסמאות היא רשימה מופרדת בפסיקים של שלוש סיסמאות עוקבות שהופקו על ידי
אסימון המשתמש (פונקציית "סנכרון אוטומטי" זו זמינה גם דרך
local_token_authenticate[3]). הרצף הנתון חייב להתאים לרצף המחושב
בדיוק, בהינתן הפרמטרים התפעוליים בתוקף; למשל, אפסים מובילים הם
משמעותי, וכך גם רדיוס התצוגה ומספר ספרות ה-OTP בתוקף. אם
הסנכרון הצליח, המשתמש אמור להיות מסוגל לאמת באמצעות הבא
סיסמה שהופקה על ידי המכשיר. אלגוריתם חיפוש ממצה באמצעות הגדלה
מופעל ערכי מונה, עם הגבלת זמן הידור על המספר המרבי של
חישובים. החיפוש מתחיל בערך המונה הנוכחי של השרת, אלא אם כן
אחד מסופק באמצעות -דֶלְפֵּק. אם לא תצליח, פעולה זו עשויה להימשך זמן רב
לפני שהוא מסתיים; על המשתמש ליצור קשר עם מנהל מערכת לקבלת סיוע.
במצב TOTP, נסה לקבוע עד כמה שעון המערכת מסונכרן
השעון של האסימון והצג את התוצאה. ניתן להשתמש במידע זה כדי לעדכן את
רשומת האסימון של המשתמש כדי לפצות על שעונים מסונכרנים בצורה גרועה, או כדי להתאים
פרמטרי אימות. מפתח האסימון ושם אלגוריתם העיכול הם
הושג עבור הרשומה האסימון השייך ל שם משתמש, אם ניתן; אחרת המפתח
מתבקש ואלגוריתם התקציר לשימוש מתקבל מהפקודה
קו או ברירת המחדל. רק הסיסמה הראשונה נכנסת רשימת סיסמאות משמש. ה
-טופ-זמן, -ספרות, ו -טופ-בסיס האפשרויות יעילות במהלך פעולה זו.
-מבחן
בצע כמה בדיקות עצמיות, ואז צא. מצב יציאה שאינו אפס פירושו שאירעה שגיאה.
-טופ-הצג NUM
הצג רצף של סיסמאות TOTP תוך שימוש בפרמטרים הקיימים כעת:
גודל מרווח (-טופ-זמן), כמות הספרות (-ספרות), ובסיס (-בסיס).
הפרמטרים המאוחסנים של החשבון אינם משתנים. זה מיועד בעיקר לניפוי באגים
מטרות.
אם שם משתמש מסופק (הוא חייב להיות משויך להתקן TOTP), המפתח ו
נעשה שימוש בפרמטרים מאוחסנים אחרים מהחשבון, אלא אם כן הם מדרסים על ידי שורת הפקודה
דגלים. רצף הסיסמאות עבור NUM מרווחים לפני ואחרי השעה הנוכחית,
יחד עם הסיסמה לשעה הנוכחית מודפסים.
אם לא שם משתמש ניתנת, התוכנית מבקשת את המפתח (שהוא מהדהד) ומשתמשת
דגלי שורת פקודה או ערכי ברירת מחדל עבור פרמטרים. לאחר מכן הוא פולט את סיסמת ה-TOTP
עבור השעה הנוכחית בכל לחיצה על Return/Enter. הקלדת EOF גורמת מיידית
סיום.
-לְאַמֵת otp-value
If otp-value היא הסיסמה החד-פעמית הבאה הצפויה, החזר למצב יציאה של אפס ל
להצביע על הצלחה; כל ערך אחר מצביע על כשל. אם שם משתמש נתון, פרמטרים
לצורך אימות, כולל המפתח, מתקבלים מהחשבון הזה, אלא אם כן הם מדרסים
שורת הפקודה. מצב השרת לא משתנה; למשל, מונה HOTP לא
מִתקַדֵם. אם לא שם משתמש ניתן, ה -מצב יש להשתמש בדגל ובפרמטרים
יש לתת את הדרוש למצב זה, כולל מפתח. עבור מצב HOTP, ערך מונה
חייב להיות מסופק. עבור מצב TOTP, פרמטרים של שורת הפקודה יעילים במהלך זה
אימות. דקסטוקן יבדוק אם otp-value מאמת מול הפרמטרים ב
השפעה.
הבא מתקן דגלים מובנים:
-את כל
עם -מַעֲרֶכֶת ולא שם משתמש, החל את השינויים על את כל חשבונות. אפשר להשתמש בזה
הפעל או השבת את כל החשבונות, למשל. ה -דיו ו -מפתחות הדגלים הם
מכובד. אם מתרחשת שגיאה, העיבוד מפסיק מיד, ובמקרה זה רק חלק
ייתכן שהחשבונות שונו.
-בסיס NUM
השתמש NUM כבסיס (רדיקס) בעת הצגת OTP. הערך של NUM מוגבלת ל
10 (ברירת המחדל), 16, או 32.
-דֶלְפֵּק NUM
זהו ערך מונה ה-HOTP של 8-בתים שיש להגדיר, מבוטא כערך משושה אם קדם לו
ב-"0x" (או "0X"), עשרוני אחרת. אפסים מובילים עלולים להימחק. זה מרמז על HOTP
מצב. עבור התקני אסימונים, לא אמור להיות אפשרי לאפס מונה (מונה מודולו
overflow) כי זה יביא לכך שרצף הסיסמאות יחזור על עצמו, בהנחה
שהמפתח לא משתנה; ייתכן שלא תהיה הגבלה זו למימושי תוכנה,
עם זאת, אז היזהרו מהשלכות האבטחה.
-ספרות NUM
השתמש NUM ספרות בעת הצגת OTP. הערך של NUM מוגבלת ל 6, 7, 8 (
ברירת מחדל), או 9 עם בסיס 10. זה מוגבל ל 6 עם בסיס 32 ומתעלמים ממנו עם
בסיס 16 (פלט משושה).
-השבתה
השבת את החשבון עבור שם משתמש. ה local_token_authenticate מודול, ו -auth ו
-לְאַמֵת דגלים, לא יאפשר למשתמש לבצע אימות עד שהחשבון בוצע
מופעל, אם כי עדיין עשויות להתבצע פעולות אחרות בחשבון. אם -לְאַפשֵׁר
בשימוש לאחר מכן, החשבון יהפוך לשימוש לאימות והוא אכן
הוחזר למצבו בזמן השבתתו. זו לא שגיאה להשבית
חשבון כבר מושבת.
-לְאַפשֵׁר
אפשר את החשבון עבור שם משתמש. ה local_token_authenticate מודול יאפשר את
משתמש לאימות. זו לא שגיאה להפעיל חשבון שכבר מופעל.
-חלון חם NUM
אם סיסמת ה-HOTP הצפויה אינה תואמת לסיסמה הנתונה, נסה להתאים עד
NUM סיסמאות אחרי הסיסמה הצפויה ברצף. ערך של אפס עבור NUM
משבית את החיפוש הזה.
-דיו סוג פריט
לפענוח מפתחות סודיים, השתמש בחנות המזוהה על ידי סוג פריט, מן הסתם
מוגדר ב-dacs.conf.
מקש keyval
השתמש keyval כמפתח הסודי, מבוטא כמחרוזת ספרות משושה.
אבטחה
אספקת מפתח בשורת הפקודה אינה מאובטחת מכיוון שהוא עשוי להיות גלוי
תהליכים אחרים.
-מפתח-קובץ שם הקובץ
קרא את המפתח הסודי, המבוטא כמחרוזת ספרות משושה, מתוך שם הקובץ. אם שם הקובץ is
"-", המפתח נקרא מ-stdin.
-הנחיית מפתח
בקש את המפתח הסודי, מבוטא כמחרוזת ספרות משושה. הקלט אינו מהדהד.
-מצב מצב otp
זה מציין (בחוסר רגישות לאותיות גדולות) את סוג האסימון (מצב התקן OTP) לשימוש
עם -מַעֲרֶכֶת, -לִיצוֹר, ופעולות אימות וסנכרון. ה מצב otp יכול להיות
או מונה או hotp עבור מצב מונה, או זמן או topp עבור מצב מבוסס זמן. זֶה
נדרש דגל בעת יצירת חשבון חדש.
-מפתחות סוג פריט
להצפנת מפתחות סודיים, השתמש בחנות המזוהה על ידי סוג פריט, כנראה מוגדר
ב-dacs.conf.
פינים pinval
השתמש pinval בתור ה-PIN הסודי של החשבון.
אבטחה
אספקת ה-PIN בשורת הפקודה אינה מאובטחת מכיוון שהוא עשוי להיות גלוי
תהליכים אחרים.
-אילוצים פינים str
במקום להשתמש PASSWORD_CONSTRAINTS[14], שימוש str (בעל אותו תחביר ו
סמנטיקה) כדי לתאר את הדרישות ל-PIN.
הערות
הדרישות ל-PIN חלות על מספרי PIN שהושגו באמצעות דגל שורת פקודה ועל אלו
הושג באמצעות ייבוא (באמצעות התכונה "p"). דרישות לא
עם זאת, "רטרואקטיבית", כך ששינוי הדרישות אינו משפיע על מספרי ה-PIN של
חשבונות קיימים או חשבונות ייבוא שיוצאו בעבר (בעל א
תכונת "ph").
-pin-file שם הקובץ
קרא את ה-PIN הסודי מ שם הקובץ. אם שם הקובץ הוא "-", ה-PIN נקרא מ-stdin.
-pin-prompt
בקש את ה-PIN הסודי. הקלט אינו מהדהד.
-רנד
שמור לשימוש עתידי.
-זֶרַע str
שמור לשימוש עתידי.
-סידורי str
המספר הסידורי, str, הוא מזהה ייחודי (לכאורה) שהוקצה לאסימון.
אפשרות זו משמשת עם -מַעֲרֶכֶת, -לִיצוֹר, ו -רשימה דגלים. מספר סידורי
מזהה התקן OTP ספציפי ואין צורך לשמור אותו בסוד. תכונת הייחודיות
נאכף בתוך יחידת אחסון מסוג פריט; כלומר, מספרים סידוריים של כל ה-HOTP
התקנים חייבים להיות ייחודיים, המספרים הסידוריים של כל התקני TOTP חייבים להיות ייחודיים, ואם
חשבונות עבור שני סוגי המכשירים משולבים, כל המספרים הסידוריים של המכשיר חייבים להיות
ייחודי. כל מחרוזת להדפסה מתקבלת. אם לקוח תוכנה יוצר
סיסמאות, תוכל להשתמש במספר הסידורי של המכשיר, או לבחור בכל תיאור מתאים
מחרוזת שעוד לא הוקצתה למכשיר.
הערות
תחום שיפוט המאפשר (או עשוי לאפשר בסופו של דבר) גם אסימוני חומרה וגם
יישומי לקוח יוצרי תוכנה צריכים לשקול אימוץ רשמי
ערכת שמות לאסימונים שלו. לדוגמה, המנהל עשוי לצרף "-hw" ל
המספר הסידורי של הספק כדי ליצור את דקסטוקן מספר סידורי. עבור תוכנה
אסימונים, המנהל עשוי ליצור א דקסטוקן מספר סידורי על ידי הוספה
"-sw" למספר הסידורי של הספק עבור המכשיר.
-טוטפ-דלתא NUM
התאם את זמן הבסיס לפי NUM מרווחים (כל אחד מגודל הצעד מספר השניות) כאשר
מחשוב TOTP. ה NUM יכול להיות שלילי, אפס או חיובי. זה משמש לתיקון
עבור שעונים מסונכרנים בצורה לא מספקת.
-טופ-סחף nwindows
עבור TOTP, השתמש בגודל חלון של nwindows (מבחינת גודל המרווח) עבור
מַתַן תוֹקֵף. אם nwindows is 0, ערך ה-TOTP המחושב חייב להתאים לערך הנתון
בְּדִיוּק. אם nwindows is 1, למשל, דקסטוקן ינסה להתאים ל-TOTP הנתון
ערך במרווחים הקודמים, הנוכחיים והבאים. זה מאפשר לשעונים ב
המערכת פועלת דקסטוקן (אוֹ local_token_authenticate) ומכשיר להפקת אסימון ל
להיות פחות מסונכרן.
אבטחה
למרות שהוא מפצה על שעונים מסונכרנים גרוע, מגדיל את הערך של
nwindows מחליש את המערכת על ידי הארכת אורך החיים של סיסמה חד פעמית.
-טוטפ-האש ALG
השתמש ALG בתור אלגוריתם העיכול עם TOTP. הערך של ALG מוגבל ל (מקרה
ללא רגישות) SHA1 (ברירת המחדל), SHA256 או SHA512.
-טופ-זמן שניות
השתמש שניות כגודל המרווח בעת חישוב TOTP. זה חייב להיות גדול מאפס. ה
ברירת המחדל היא 30 שניות.
אבטחה
למרות שהוא מפצה על שעונים מסונכרנים גרוע, מגדיל את הערך של
שניות מחליש את המערכת על ידי הארכת אורך החיים של סיסמה חד פעמית.
-vfs vfs_uri
השתמש vfs_uri לעקוף את VFS[33] הוראת תצורה בתוקף. זה יכול להיות
משמש כדי להגדיר או להגדיר מחדש את auth_token, auth_hotp_token, או auth_totp_token ל
ציין את שיטת האחסון עבור החשבונות שבהם פועלים.
מלבד הודעות שגיאה, המודפסות לפי השגיאה הסטנדרטית, כל הפלט עובר ל-
פלט סטנדרטי.
בדרך כלל, א dacsoption יצוין כדי לבחור את תחום השיפוט מטעמו
חשבונות מנוהלים.
דוגמאות
דוגמאות אלו מניחות ששם תחום השיפוט לשימוש הוא EXAMPLE והפדרציה שלו
הדומיין הוא example.com.
כדי להשתמש בשיטת אימות זו, א DACS מנהל המערכת עשוי לבצע את השלבים הבאים
עבור כל מכשיר OTP שהוקצה למשתמש:
1. השג אסימון נתמך, סקור כיצד הוא משמש לאימות ובחר ערכים
עבור הפרמטרים השונים. השג את המפתח הסודי של המכשיר מהספק; ל
מכשיר שניתן לתכנות, בחר מפתח אקראי מתאים ותכנת אותו במכשיר.
ערכי המונה הנוכחיים עשויים להתקבל גם מהספק, למרות שכן
סביר שיאוחל לאפס; עבור התקן הניתן לתכנות, הגדר את ערך המונה ל
אֶפֶס. החלט אם יידרש קוד PIN (ראה TOKEN_REQUIRES_PIN[9]). אם תוכנה
לקוח נמצא בשימוש, התקן את התוכנה במכשיר של המשתמש (או בקש מהמשתמש לעשות זאת
אז), ולהגדיר את התוכנה.
2. החליטו היכן יאוחסנו פרטי החשבון ובמידת הצורך הוסיפו מתאים
VFS[33] הנחיה ל-dacs.conf. ברירת המחדל (נמצאת ב-site.conf) שומרת על החשבון
מידע בקובץ בשם auth_tokens בתוך ברירת המחדל הפרטית של כל תחום שיפוט
אזור:
VFS "[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_tokens"
3. צור מפתחות כדי להצפין את פרטי החשבון (ראה מטבעות ו סוד מפתחות[34]) ו
להחליט היכן הם יאוחסנו; לדוגמה (מזהה המשתמש שלך, מזהה קבוצה, נתיב,
שם תחום השיפוט ותחום הפדרציה עשויים להשתנות):
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj EXAMPLE -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
במידת הצורך, הוסף מתאים VFS[33] הנחיה ל-dacs.conf; ברירת המחדל, כלומר
בשימוש למעלה, שומר את פרטי החשבון בקובץ בשם auth_token_keys בתוך
אזור פרטי ברירת המחדל של כל תחום שיפוט:
VFS "[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys"
4. אם אתה צריך שמשתמשים ייכנסו דרך dacs_authenticate(8)[2], עליך להגדיר את א
סעיף Auth מתאים ב-dacs.conf, לדוגמה:
כתובת אתר "אסימון"
STYLE "מעבר"
CONTROL "מספיק"
5. ישנן מספר דרכים שבהן מנהל מערכת עשוי להמשיך, תלוי בכמה
המאמץ יכול להיעשות על ידי משתמשים (למשל, האם ניתן לסמוך עליהם, הטכני שלהם
יכולת), כמה משתמשים יש (כמה, או אלפים), ורמת האבטחה
נדרש.
1. להכין קובץ המכיל את XML שיא[35] עבור כל חשבון שייווצר; אם
יש להשתמש ב-PIN, הקצה PIN אקראי לכל חשבון;
2. השתמש ב -יְבוּא[36] דגל ליצירת החשבונות;
3. תן למשתמש את התקן האסימון, שם המשתמש ו(במידת הצורך) קוד PIN ראשוני
(אולי מאמת זהות), מתן כל הדגמה הדרושה ו
הוראות;
4. בקש מהמשתמש להגדיר או לאפס את ה-PIN עבור החשבון, ובקש מהמשתמש להיכנס
באמצעות האסימון כדי לאשר פעולה נכונה.
כדי ליצור חשבון מושבת עבור משתמש bobo עבור התקן HOTP:
% dacstoken -uj דוגמה -מצב hotp -סידורי 37000752 -key-file bobo.key -create bobo
המפתח הסודי של החשבון (שאסור להתקיים כבר) נקרא מהקובץ
bobo.key. חשבונות חדשים מושבתים כברירת מחדל; להשתמש -לְאַפשֵׁר כדי ליצור חשבון מופעל.
לאחר יצירת חשבון, ניתן לסנכרן אותו עם האסימון. לסנכרון
אסימון ה-HOTP עבור בובו המשתמש:
% dacstoken -uj EXAMPLE -sync 433268,894121,615120 bobo
בדוגמה זו, האסימון המסוים יצר את שלוש הסיסמאות הרצופות 433268,
894121 ו-615120. שים לב שמחרוזת רצף הסיסמה הבאה אחרי -סינכרון דגל הוא
ארגומנט יחיד שאינו יכול לכלול רווחים מוטבעים. אם המפתח עבור אסימון זה הוא
19c0a3519a89b4a8034c5b9306db, הסיסמה הבאה שנוצרת על ידי אסימון זה צריכה להיות 544323
(עם ערך מונה 13). ניתן לאמת זאת באמצעות -הוט-מופע:
% dacstoken -hotp-show 5 -counter 10 -key 19c0a3519a89b4a8034c5b9306db
000000000000000a: 433268
000000000000000ב: 894121
000000000000000c: 615120
000000000000000d: 544323
000000000000000e: 002442
כדי להפעיל את החשבון עבור משתמש bobo:
% dacstoken -uj דוגמה -enable -set bobo
כדי להגדיר את ה-PIN וגם להפעיל את החשבון עבור משתמש bobo:
% dacstoken -uj EXAMPLE -enable -pin "CzAy" -set bobo
כדי לרשום את כל החשבונות בפירוט:
% dacstoken -uj דוגמה -ארוך
אל האני -רשימה הדגל מיותר מכיוון שזו פעולת ברירת המחדל. ה -מצב, -דֶלְפֵּק, וכו '
לשינויים אין השפעה בעת הרישום.
כדי לרשום רק את החשבון עבור bobo:
% dacstoken -uj EXAMPLE -list bobo
סטטוס היציאה לא יהיה אפס אם למשתמש זה אין חשבון.
כדי להציג את החשבון של המכשיר עם המספר הסידורי 37000752:
% dacstoken -uj דוגמה -סידורי 37000752
המספר הסידורי, שאמור לזהות באופן ייחודי אסימון, מודפס לרוב על האסימון
או ניתן להציג באמצעות האסימון.
כדי להגדיר את ערך המונה עבור החשבון הקיים של bobo:
% dacstoken -uj דוגמה -מונה 9 -סט בובו
פעולה זו עשויה לשמש לבדיקה או עם אסימון תוכנה. ה -סינכרון הפעולה היא
מתאים יותר לאסימון חומרה.
כדי לשנות את ה-PIN עבור שם המשתמש bobo:
% dacstoken -uj דוגמה -pin-prompt -set bobo
התוכנית תבקש את ה-PIN החדש.
כדי להשתמש בקובץ חשבון חלופי, /secure/auth_tokens:
% dacstoken -uj דוגמה -vfs "dacs-kwv-fs:/secure/auth_tokens" -list
כדי להשתמש במפתחות חדשים (באותן הנחות כמו קודם), הוסף הנחיית VFS מתאימה ל
dacs.conf; ברירת המחדל מגדירה את סוג הפריט auth_token_keys_prev באופן הבא:
VFS "[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys.prev"
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj EXAMPLE -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj EXAMPLE -inkeys auth_token_keys.prev -set
דיאגנוסטיקה
התוכנית יוצאת מ-0, או 1 אם אירעה שגיאה.
השתמש ב-dacstoken באינטרנט באמצעות שירותי onworks.net
